Академический Документы
Профессиональный Документы
Культура Документы
1
16. Федеральные критерии безопасности информационных технологий (FCITS). Цели разработки.
Понятие профиля защиты (ПЗ). Таксономия функциональных требований, требований к технологии
разработки и процессу квалификационного анализа ИТ-продукта...................................................24
17. Канадские критерии безопасности компьютерных систем (CTCPEC). Таксономия функциональных
критериев и критериев адекватности реализации системы безопасности информации. Уровни
адекватности Т0-Т7.................................................................................................................................26
18. Концепция защиты от НСД к информации (РД ГТК РФ). Два направления - АС и СВТ. Модель
нарушителя: уровни возможностей.......................................................................................................27
Классы защищенности автоматизированных систем.................................................................28
19. Классификация автоматизированных систем (АС) и требования по защите информации (РД ГТК
РФ). Система классификации защищенных АС. Основные подсистемы СЗИ (связь функций и классов
АС): управления доступом, регистрации и учета, криптоподсистема, сохранения целостности.
Организационные мероприятия по защите информации от НСД......................................................29
20. Показатели и классы защищенности средств вычислительной техники (СВТ) (РД ГТК РФ).
Классификация защищенных СВТ. Дискреционный и мандатный принцип контроля доступа. Очистка
памяти. Изоляция модулей. Маркировка документов. Защита ввода и вывода на отчуждаемый
физический носитель информации. Сопоставление пользователя с устройством. Идентификация и
аутентификация. Регистрация. Взаимодействие пользователя с КСЗ. Надежное восстановление.
Целостность КСЗ.....................................................................................................................................30
21. Межсетевые экраны (МЭ) (РД ГТК РФ). Классификация МЭ. Связь классов с показателями:
управление доступом, идентификация и аутентификация, регистрация, администрирование
(идентификация, аутентификация, регистрация), простота использования, целостность, восстановление,
тестирование, руководство администратора, тестовая и конструкторская (проектная) документация.
Связь классов с уровнями базовой эталонной модели сетей..............................................................33
22 Требования по безопасности информации, устанавливающие уровни доверияк средствам
технической защиты информации и средствам обеспечения безопасностиинформационных технологий
(Приказ ФСТЭК России № 76 от 2 июня 2020 г.,выписка).................................................................34
23. Испытания программных средств на наличие компьютерных вирусов (ГОСТ Р 51188-98). Виды
вирусов и методы испытаний.................................................................................................................36
24. Антивирусные средства защиты информации (РД ГТК РФ). Показатели защищенности и требования
по защите от вирусов. Виды вирусов. Классификация АВС. Характеристика основных подсистем:
контроля целостности; блокирования внедрения; обнаружения; удаления; обеспечения
гарантированности свойств; регистрации.............................................................................................37
25. Специальные защитные знаки (СЗЗ) (РД ГТК РФ). Классификация по возможности подделки,
идентифицируемости и стойкости защитных свойств. Применение на объектах различной категории.
...................................................................................................................................................................39
26. Методология оценки безопасности ИТ (ГОСТ 15408). Области применения стандарта «Общие
критерии».................................................................................................................................................40
27. Контекст оценки безопасности информационных технологий: разработка ОО, процесс оценки,
эксплуатация (ГОСТ 15408)...................................................................................................................41
28. Планирование обработки инцидентов и средства управления непрерывностью бизнеса.........43
29. Последовательность формирования требований и спецификаций (ГОСТ 15408): среда безопасности,
цели безопасности, требования безопасности ИТ и краткая спецификация ОО..............................44
30. Обеспечение непрерывности бизнеса. Основные стандарты по управлению непрерывностью
бизнеса. Стратегии управления непрерывностью бизнеса. Особенности внедрение в культуру
организации..............................................................................................................................................45
31. Представление требований безопасности: классы, семейства, компоненты, элементы (ГОСТ 15408).
Виды связей и зависимостей между компонентами, разрешенные операции с элементами..........47
32. Методологи (уровни) рассмотрения вопросов информационной безопасности (ИБ). Предприятие как
объект информатизации (категории), АС и СВТ. Состав типовой комплексной системы защиты
2
информации на предприятии (КСЗИ): СКУД, ОТ, ОПС, ПЭШ, КС. Уровни секретности (ГТ: С, СС, ОВ)
и конфиденциальности (К: служебная, коммерческая и общедоступная) информации. Политика
безопасности предприятия. (то же что и 50.)........................................................................................48
33. Источники требований безопасности (ГОСТ 15408). Виды оценок: ПЗ, ЗБ, ОО. Поддержка доверия.
...................................................................................................................................................................50
34. Управление инцидентами информационной безопасности. Цели и задачи. Структура системы
управления инцидентами. Первая оценка и вторая оценка, подтверждение инцидента и реагирование на
инциденты (немедленное, контролируемое, последующее реагирование). Стандартные антикризисные
действия и средства управления событиями........................................................................................51
35. Особенности профиля защиты (ПЗ) (ГОСТ 15408). Структура ПЗ: введение, описание ОО. среда
безопасности ОО, цели безопасности, требования безопасности ОО, замечания по применению,
обоснование.............................................................................................................................................52
36. Менеджмент риска информационной безопасности (ГОСТ 27005). Алгоритм менеджмента риска в
системе управления информационной безопасностью. Что такое оценка, обработка, принятие,
коммуникация, мониторинг и пересмотр рисков?...............................................................................55
37. Особенности задания по безопасности (ЗБ) (ГОСТ 15408). Структура ЗБ: введение, описание ОО,
среда безопасности ОО, цели безопасности, требования безопасности ИТ, краткая спецификация ОО,
утверждения о соответствии ПЗ, обоснование.....................................................................................56
38. Основные мероприятия по аудиту информационной безопасности организаций и систем.
Международные правовые аспекты, стандарты и руководства по основам аудита информационной
безопасности............................................................................................................................................59
39. Особенности функциональных требований безопасности ИТ-продуктов (ГОСТ 15408).
Представление функциональных требований. Структура класса. Структура семейства (ранжирование,
управление, аудит). Структура компонента (подчиненность по иерархии, зависимости - прямые,
косвенные, выбираемые, операции - итерация, назначение, выбор, уточнение). Функциональный
элемент.....................................................................................................................................................62
40. Процессный подход к обеспечению информационной безопасности (ГОСТ 27001). Особенности
перехода от линейной модели управления качеством процессов и систем к замкнутой циклической
модели менеджмента качества...............................................................................................................66
41. Парадигма функциональных требований (ГОСТ 15408). Виды объектов оценки и политик
безопасности. Функции безопасности: стойкость, область действия, интерфейс, типы ПФБ. ФБО
единого, локального и распределенного ОО. Виды пользователей. Роли. Ресурсы. Сущности: активные
и пассивные. Атрибуты безопасности. Данные ОО: пользователя и ФБО. Аутентификационные данные
и секреты..................................................................................................................................................71
42. Оценка информационной безопасности предприятия. Основные аспекты стандартизации систем и
процессов управления информационной безопасностью (ГОСТ 27001, СоbiT, NIST)...................74
43. Обзор классов функциональных требований (ГОСТ 15408)........................................................76
44. Угрозы безопасности информации. Критерии классификация угроз безопасности информации.
Основные методы реализации угроз информационной безопасности. Модель нарушителя..........78
45. Парадигма доверия в стандарте (ГОСТ 15408). Основные принципы стандарта. Значимость
уязвимостей. Причины возникновения уязвимостей. Подход к доверию в стандарте. Роль оценки.82
46. Национальная безопасность РФ, государственная информационная политика, виды безопасности,
проблемы информационных войн, концепция национальной безопасности. Что такое концепция
национальной безопасности?.................................................................................................................83
47. Представление требований доверия к безопасности (ГОСТ 15408). Структура класса, семейства,
компонента, элемента и оценочных уровней доверия.........................................................................84
48. Причины, виды и каналы утечки информации. ГОСТ Р 50922-96. Характеристика видов утечки
информации: разглашение информации, несанкционированный доступ, получение защищаемой
информации разведками. Характеристика каналов утечки информации: электромагнитный,
акустический (виброакустический), визуальный и информационный..............................................86
3
49. Обзор классов и семейств доверия (ГОСТ 15408).........................................................................87
50. Методологи (уровни) рассмотрения вопросов информационной безопасности (ИБ). Предприятие как
объект информатизации (категории), АС и СВТ. Состав типовой комплексной системы защиты
информации на предприятии (КСЗИ): СКУД, ОТ, ОПС, ПЭШ, КС. Уровни секретности (ГТ: С, СС, ОВ)
и конфиденциальности (К: служебная, коммерческая и общедоступная) информации. Политика
безопасности предприятия. (то же что и 32).........................................................................................90
51. Структура системы аттестации по требованиям безопасности информации.............................92
52. Порядок проведения аттестации объектов информатизации по требованиям безопасности
информации.............................................................................................................................................93
53. Виды лицензируемой деятельности в области защиты информации..........................................93
(Федеральный закон № 99-ФЗ от 04.05.2011г.)....................................................................................93
54. Классификация информационных систем персональных данных (ИСПДн) по уровням
защищенности. Состав и содержание мер по обеспечению безопасности персональных данных,
необходимых для обеспечения каждого из уровней защищенности персональных данных (Приказ
ФСТЭК №21 от 18 февраля 2013 г.)......................................................................................................94
54.1 Страшная таблица. Тыкните, чтобы свернуть и продолжить жить счастливой и беззаботной
жизнью. Открывать на свой страх и риск….................................................................................................95
55 Государственные информационные системы (ГИС). Классы защищенности ГИС. Состав мер защиты
информации и их базовые наборы для соответствующего класса защищенности информационной
системы (Приказ ФСТЭК №17 от 11 февраля 2013 г.)......................................................................103
56. Категорирование объектов критической информационной инфраструктуры (КИИ) (Федеральный
закон №187-ФЗ от 26 июля 2017 г., Постановление Правительства № 127 от 8 февраля 2018 г.).103
4
1. Актуальность защиты информации. Предпосылки кризиса систем защиты
информации (СЗИ). Современные требования к СЗИ.
Актуальность защиты информации обуславливается ростом количества
информационных систем, а также интенсивностью их внедрения на предприятия и в
государственные органы. Как следствие, количество преступлений, проведенных с
помощью программных средств, таких как хищение, изменение и уничтожение
важной информаций, неуклонно растет. Отсюда возникает необходимость в защите
информации.
Основные предпосылки кризиса систем защиты информации (СЗИ):
1. Эксплуатация современных компьютеров стала в разы легче, что негативно сказалось
на компьютерной квалификации пользователей, что в свою очередь облегчает работу
злоумышленникам. Также необходимо отметить повсеместную информатизацию и
распространение глобальной сети Internet, из-за чего злоумышленники могут
работать по всему миру.
2. Распространение программного обеспечения, которое не удовлетворяет даже
минимальным требованиям безопасности (наличие изъянов в организации средств
безопасности, а также недокументированных возможностей)
3. Современные приложения не просто обрабатывают данные, а интерпретируют
интегрированные в них инструкции специального языка программирования, по сути
являясь отдельной машиной. Это увеличивает возможности злоумышленников по
созданию средств внедрения в чужие системы и затрудняет защиту, также требуется
контроль на уровне виртуальной машины или интерпретатора.
4. Разрыв между теорией и практикой. Как следствие, существующие системы защиты
информации основаны на уже проведенных атаках, что предопределяет их
поведение.
5. Необходимость в обоснований требований безопасности, создание нормативной базы,
устанавливающей обязательный уровень безопасности.
Современные требования к СЗИ:
1. Управление доступом должно учитывать современные формы представления
информации, а системы защиты должны обеспечивать безопасность на уровне
информационных ресурсов, а не отдельных документов или сообщений;
2. Идентификация и аутентификация на глобальном уровне, в связи с развитием сетей и
Internet;
3. От защиты требуются новые функции, а именно механизмы, обеспечивающие
безопасность системы в условиях возможного появления в виде программ,
осуществляющих деструктивные действия, компьютерных вирусов и
автоматизированных средств взлома;
4. Системы безопасности должны по мере возможности сохранять совместимость с
популярными в настоящее время системами.
5
2. Парадигма поддержки доверия (ГОСТ 15408). Цикл поддержки доверия. Приемка
ОО. Мониторинг ОО. Переоценка. Класс AMA - Поддержка доверия. План
поддержки доверия. Отчет о категорировании компонентов ОО. Свидетельство
поддержки доверия. Анализ влияния на безопасность.
Парадигма поддержки доверия – понятие, которое применяется после оценки и
сертификации объекта оценки. Она применяется для получения уверенности в том,
что объект оценки по прежнему будет отвечать своему заданию по безопасности
после изменений в объекте оценки или его среде. К этим изменениям относятся:
обнаружение новых угроз, уязвимостей, изменения в требованиях пользователя,
исправление ошибок, обнаруженных в сертифицированном объекте оценки,
обновления функциональных возможностей объекта оценки.
Цикл поддержки доверия состоит из нескольких фаз:
1) Приёмка – фаза, когда планы и процедуры разработчика по поддержке доверия
устанавливаются, а затем их правильность подтверждается оценщиком.
2) Мониторинг – фаза, когда разработчик предоставляет свидетельство о том, что
доверие к объекту оценки поддерживается в соответствии с установленными
планами и процедурами, затем это свидетельство независимо проверяется
оценщиком.
3) Переоценка – завершающая фаза, когда обновленная версия ОО представляется на
рассмотрение, для переоценки, основанной на изменениях, которым подверглась
сертифицированная версия ОО.
6
в) значительное изменение подсистем ФБО, отнесенных к категории
обеспечивающих осуществление ПВО (для случаев, когда требования доверия включают
в себя ADV H LD. 1 или иерархичные компоненты)
Отчет о категорировании компонентов ОО распространяется на все представления
ФБО на поддерживаемом уровне доверия. Отчет о категорировании компонентов ОО
также идентифицирует:
а) любые аппаратные, программно-аппаратные и программные компоненты, которые
являются внешними по отношению к ОО (например, аппаратные или программные
платформы) и удовлетворяют требованиям безопасности ИТ, определенным в ЗБ;
б) любые инструментальные средства разработки, модификация которых будет
влиять на требуемое доверие к тому, что ОО удовлетворяет своему ЗБ.
Свидетельство поддержки доверия
Необходимо убедиться в том, что доверие к ОО поддерживается разработчиком в
соответствии с планом ПД. Это достигается путем подготовки свидетельства, которое
демонстрирует поддержку доверия к ОО и независимо проверяется оценщиком. Эта
проверка, называемая «аудит поддержки доверия» (аудит ПД), будет, как правило,
применяться периодически в фазе мониторинга цикла поддержки доверия к ОО.
Назначение анализа влияния на безопасность состоит в том, чтобы убедиться в
поддержке доверия к ОО посредством проводимого разработчиком анализа влияния на
безопасность всех изменений, воздействующих на ОО после его сертификации. Эти
требования могут применяться в фазе мониторинга или переоценки. Анализ влияния на
безопасность, проводимый разработчиком, основывается на отчете о категорировании
компонентов ОО: изменения в осуществляющих ИБО компонентах ОО могут повлиять
на доверие к тому, что ОО продолжает отвечать своему ЗБ после изменений. Поэтому
все такие изменения требуют анализа их влияния на безопасность, чтобы показать, что
они не нарушают доверия к ОО.
7
• сохранение и развитие демократических институтов общества, обеспечение прав и
свобод граждан, укрепление законности и правопорядка;
• обеспечение достойной роли России в мировом сообществе;
• обеспечение территориальной целостности страны;
• обеспечение прогрессивного социально-экономического развития России;
• сохранение национальных культурных ценностей и традиций.
государственной (ГТ),
коммерческой
служебной.
К ГТ относят сведения в военной области, в области науки, экономики, внешней
политики, разведданные.
секретно: к секретным сведениям следует относить все иные сведения из числа
сведений, составляющих государственную тайну. Ущербом безопасности
Российской Федерации в этом случае считается ущерб, нанесённый интересам
предприятия, учреждения или организации в военной, внешнеполитической,
экономической, научно-технической и другим сферам.
совершенно секретные: к совершенно секретным сведениям следует относить
сведения в области военной экономической, научно-технической,
распространение которых может нанести ущерб интересам министерства или
отрасли экономики Российской Федерации в одной или нескольких из
перечисленных областей.
особой важности: к сведениям особой важности следует относить сведения в,
распространение которых может нанести ущерб интересам Российской Федерации
в одной или нескольких из перечисленных областей.
Коммерческая тайна - конфиденциальная информация, позволяющая ее
обладателю при существующих или возможных обстоятельствах увеличить
доходы, избежать неоправданных расходов, сохранить положение на рынке
товаров, работ, услуг или получить иную коммерческую выгоду.
Служебная тайна — защищаемая по закону конфиденциальная информация,
ставшая известной в государственных органах и органах местного
самоуправления только на законных основаниях и в силу исполнения их
представителями служебных обязанностей, а также служебная информация о
8
деятельности государственных органов, доступ к которой ограничен федеральным
законом или в силу служебной необходимости.
Виды защищаемой информации
Информация бывает двух видов – открытая и с ограниченным доступом.
Информация с ограниченным доступом делится на гостайну и конфиденциальную
информацию. К конфиденциальной относятся такие виды информации, как
коммерческая тайна, служебная тайна, персональные данные и другие.
Конфиденциальность, целостность, доступность
Конфиденциальность – доступ к информации могут получить только легальные
пользователи.
Целостность – защищаемая информация может быть изменена только законными и
имеющими соответствующие полномочия пользователями, а также информация
внутренне непротиворечива и отражает реальное положение вещей.
Доступность – гарантирующая беспрепятственный доступ к защищаемой информации
для законных пользователей.
9
4. Обзор оценочных уровней доверия (ОУД1 - ОУД7). Примерное соответствие
классам «Оранжевой книги», Европейских критериев и РД ГТК РФ.
Оценочный уровень доверия – это уровень доверия к реализации требований по защите.
В Общих критериях определено 7 оценочных уровней доверия, упорядоченных по
возрастанию по шкале от 1 до 7. Эта шкала позволяет нам оценить соотношение
уровня доверия к необходимым для этого уровня затратам.
ОУД1 Предусматривает: функциональное тестирование.
Применим: когда требуется некоторая уверенность, что объект оценки работает
безукоризненно, а угрозы безопасности не считаются серьезными.
Достигается: посредством анализа функциональной спецификации, спецификации
интересов, эксплуатационной документации в сочетании с независимым
тестированием.
ОУД2 Предусматривает: структурное тестирование и доступ к части проектной
документации и результатам тестирования разработчиком.
Применим: когда разработчикам или пользователям требуется независимо получаемый
умеренный уровень доверия при отсутствии доступа к полной документации по
разработке.
Достигается: в дополнение к ОУД1 предписывается анализ проекта верхнего уровня.
ОУД3 Предусматривает: систематическое тестирование и проверку.
Применим: когда необходимо достичь максимально возможного доверия при
использовании обычных методов разработки.
Достигается: в дополнении к ОУД2 добавлено требование, которое предписывает
разработчику создавать акт об испытаниях с учетом особенностей проекта верхнего
уровня.
ОУД4 Предусматривает: систематическое проектирование, тестирование и просмотр.
Применим: когда необходимо достичь доверия, максимально возможного при
следовании общепринятой практике коммерческой разработки.
Достигается: ОУД3 + анализ функциональной спецификации, полной спецификации
интерфейсов, эксплуатационной документации, независимого анализа уязвимостей и
т.д. Это самый экономически целесообразный продукт для существующих типов
продуктов.
ОУД5 Предусматривает: полуформальное проектирование и тестирование.
Применим: когда нужен высокий уровень доверия и строгий подход к разработке, не
влекущий излишних затрат.
Достигается: ОУД4 + формальная модель политики безопасности ОО и полуформальное
представление функциональной спецификации и проекта верхнего уровня,
полуформальная демонстрация соответствия меду ними, а также модульная
структура проекта ОО.
ОУД6 Предусматривает: полуформальную верификацию проекта.
Применим: когда необходимо достичь высокое доверие путем применения специальных
методов проектирования в строго контролируемой среде разработки при
производстве высококачественных изделий ИТ и при защите ценных активов от
значительных рисков.
Достигается: структурированное представление реализации, полуформальное
представление проекта нижнего уровня, иерархическая структура проекта ОО и т.д.
ОУД7 Предусматривает: формальную верификацию проекта.
10
Применим: к разработке изделий ИТ для использования в ситуациях чрезвычайно
высокого риска или там, где высокая ценность активов оправдывает повышенные
затраты.
Достигается: формальное представление функциональной спецификации и проекта
верхнего уровня и формальная демонстрация соответствия между ними, модульная,
иерархическая и простая структура проекта ОО, добавление представления
реализации как основы акта об испытаниях и т.д.
Примерное соответствие классам «Оранжевой книги», Европейских критериев и РД ГТК
РФ
Вид информации(по вертикали)
Классы защищенности(по горизонтали)
Читаем таблицу кароч, АС, СВТ, МЭ, СЗЗ и ПО – это все руководящие документы
гостехкомиссии (РД ГТК) РФ, TCSEC – Оранжевая книга, ITSEC – Европейские
критерии, CC – Common Criteria или по нашему Общие критерии (ГОСТ 15408)
11
5. Факторы, воздействующие на информацию (ГОСТ 51275-99). Внешние,
внутренние, объективные и субъективные.
Основные положения (то, что нужно написать в первую очередь)
12
Внешние субъективные: когда враги пытаются снять связь различными методами
(прослушка, врезка в провода и т.д)
2) Во-вторых, если способ представления информации таков, что она не может быть
непосредственно воспринята человеком, возникает необходимость в
преобразователях информации в доступный для человека способ представления
(например, для чтения информации с дискеты необходим компьютер,
оборудованный дисководом соответствующего типа).
13
7. Основные функции типовой системы защиты информации компьютерной
системы (СЗИ КС). Политика безопасности. Разграничение и управление доступом:
дискреционная и мандатная модели. Идентификация. Аутентификация.
Авторизация. Аудит.
А вот второй фактор может быть разным, в зависимости от того, какие способы
аутентификации применяются в данном случае:
одноразовый пароль или PIN-код
магнитные карты, смарт-карты, сертификаты с цифровой подписью
биометрические параметры: голос, сетчатка глаза, отпечатки пальцев
14
8. Парольные системы. Методы компрометации паролей и защиты от нее.
Количественная оценка стойкости парольных систем.
Под парольной системой будем понимать программно-аппаратный комплекс,
реализующий системы идентификации и аутентификации пользователей.
15
9. Аудит безопасности компьютерных систем: регистрация потенциально опасных
событий в компьютерной системе, необходимость, требования, политика аудита.
Процедура аудита применительно к ОС заключается в регистрации в специальном
журнале, называемом журналом аудита или журналом безопасности, событий, которые
могут представлять опасность для ОС. Пользователи системы, обладающие правом
чтения журнала аудита, называются аудиторами.
16
10. Дискреционное управление доступом (DAC). Дискреционная политика
безопасности. Матрица доступа: О-С-М, О-С-М-П, изолированная программная
среда. Основные свойства: произвольность управления доступом. Достоинства и
недостатки. Области применения.
Произвольное управление доступом — это метод ограничения доступа к объектам,
основанный на учете личности субъекта или группы, в которую субъект входит.
Произвольность управления состоит в том, что некоторое лицо (обычно владелец
объекта) может по своему усмотрению давать другим субъектам или отбирать у них
права доступа к объекту.
Текущее состояние прав доступа описывается матрицей, доступа в строках которой
перечислены субъекты, а в столбцах — объекты.
Реализует управление доступом – монитор ссылок.
Дискреционное разграничение доступа к объектам (Discretionary Access Control — DAC)
характеризуется следующим набором свойств:
• все субъекты и объекты компьютерной системы должны быть однозначно
идентифицированы;
• для любого объекта компьютерной системы определен пользователь-владелец;
• владелец объекта обладает правом определения прав доступа к объекту со стороны
любых субъектов компьютерной системы;
• в компьютерной системе существует привилегированный пользователь, обладающий
правом полного доступа к любому объекту (или правом становиться владельцем любого
объекта).
Последнее свойство определяет невозможность существования в компьютерной системе
потенциально недоступных объектов, владелец которых отсутствует.
17
11. Мандатное управление доступом (MAC). Мандатная политика безопасности.
Метки безопасности: структура, назначение полей. Основные свойства:
принудительность управления доступом, правила NRU и NWD, основная теорема
безопасности. Достоинства и недостатки в сравнении с дискреционной моделью.
Области применения.
Мандатное разграничение доступа (Mandatory Access Control — MAC). К основным
характеристикам этой модели относится следующее:
• все субъекты и объекты компьютерной системы должны быть однозначно
идентифицированы;
• имеется линейно упорядоченный набор меток конфиденциальности и соответствующих
им уровней (степеней) допуска (нулевая метка или степень соответствуют
общедоступному объекту и степени допуска к работе только с общедоступными
объектами);
• каждому объекту компьютерной системы присвоена метка конфиденциальности;
• каждому субъекту компьютерной системы присваивается степень допуска;
• в процессе своего существования каждый субъект имеет свой уровень
конфиденциальности, равный максимуму из меток конфиденциальности объектов, к
которым данный субъект получил доступ;
• в компьютерной системе существует привилегированный пользователь, имеющий
полномочия на удаление любого объекта системы;
• понизить метку конфиденциальности объекта может только субъект, имеющий доступ
к данному объекту и обладающий специальной привилегией;
• право на чтение информации из объекта получает только тот субъект, чья степень
допуска не меньше метки конфиденциальности данного объекта (правило «не читать
выше»);
• право на запись информации в объект получает только тот субъект, чей уровень
конфиденциальности не больше метки конфиденциальности данного объекта (правило
«не записывать ниже»).
Основной целью мандатного разграничения доступа к объектам является
предотвращение утечки информации из объектов с высокой меткой
конфиденциальности в объекты с низкой меткой конфиденциальности
(противодействие созданию каналов передачи информации «сверху вниз»).
Для мандатного разграничения доступа к объектам компьютерной системы формально
доказано следующее важное утверждение: если начальное состояние компьютерной
системы безопасно и все переходы из одного состояния системы в другое не нарушают
правил разграничения доступа, то любое последующее состояние компьютерной
системы также безопасно.
К другим достоинствам мандатного разграничения доступа относятся:
18
• более высокая надежность работы самой компьютерной системы, так как при
разграничении доступа к объектам контролируется и состояние самой системы, а не
только соблюдение установленных правил;
• большая простота определения правил разграничения доступа по сравнению с
дискреционным разграничением (эти правила более ясны для разработчиков и
пользователей компьютерной системы).
Отметим недостатки мандатного разграничения доступа к объектам компьютерной
системы:
• сложность программной реализации, что увеличивает вероятность внесения ошибок и
появления каналов утечки конфиденциальной информации;
• снижение эффективности работы компьютерной системы, так как проверка прав
доступа субъекта к объекту выполняется не только при открытии объекта в процессе
субъекта, но и перед выполнением любой операции чтения из объекта или записи в
объект;
• создание дополнительных неудобств работе пользователей компьютерной системы,
связанных с невозможностью изменения информации в неконфиденциальном объекте,
если тот же самый процесс использует информацию из конфиденциального объекта (его
уровень конфиденциальности больше нуля).
19
13. Развитие стандартов по информационной безопасности (TCSEC, ITSEC, FCITS,
CTCPEC, СС И РД ГТК РФ). Задачи стандартов и основные понятия.
Взаимодействие между производителями, потребителями и экспертами по
квалификации продуктов информационных технологий.
Стандарт оценки безопасности компьютерных систем (TCSEC) "Оранжевая книга".
«Критерии безопасности компьютерных систем» («Trusted Computer System Evaluation
Criteria») состоит из рейтингов «уровней доверия», где более высокие уровни строятся на
более низких, за счет последовательного ужесточения требований к безопасности и
проверке.
Стандарт безопасности информационных технологий ITSEC (Information Technology
Security Evaluation Criteria) оценивает два основных атрибута защитных механизмов
систем: функциональность и гарантии. При оценке функциональности защитных
механизмов системы, проводится проверка и оценка предоставляемых субъектам
сервисов. Гарантии, с другой стороны, это степень доверия защитным механизмам, их
эффективность и возможность работы согласованным образом.
«Федеральные критерии безопасности информационных технологий» (Federal Criteria
for Information Technology Security) разрабатывались как одна из составляющих
«Американского федерального стандарта по обработке информации», призванного
заменить «Оранжевую книгу». Был создан для разработки универсального пакета
требований безопасности и должен согласовать между собой требования и стандарты,
принятые в различных странах.
«Канадские критерии» (Canadian Trusted Computer Product Evaluation Criteria;
CTCPEC) разрабатывались для использования в качестве национального стандарта
безопасности компьютерных систем. Ориентированной в основном на разработку и
сертификацию многопользовательских операционных систем и требующей
определенной интерпретации для других применений, «Канадские критерии» были
изначально нацелены на широкий диапазон компьютерных систем.
Common Criteria (CC), является международным стандартом оценки степени
защищенности продуктов. СС гибче уровней доверия TCSEC и по структуре ближе
ITSEC, чем TCSEC. СС включает две концепции: профиля защиты (Protection Profile, PP)
— требования к безопасности разбиваются на группы, которые легко определять и
сравнивать; объекта защиты (Security Target, ST) — предоставляет набор требований к
защите, которые могут быть подготовлены с помощью PP.
Руководящие документы Гостехкомиссии Российской Федерации. Основным
критерием классификации служит протокольный уровень, на котором осуществляется
фильтрация информации. Чем выше уровень, тем больше информации на нем доступно
и, следовательно, тем более тонкую и надежную фильтрацию можно организовать.
20
14. Стандарты «Радужной серии». оранжевая книга (TCSEC). Цели создания.
Таксономия требований по безопасности компьютерных систем: политика
безопасности, повторное использования объектов, анализ скрытых каналов, прямое
взаимодействие с ядром безопасности, подотчетность, гарантированность,
документация. Классификация трастовых компьютерных систем. Красная, розовая
и желтая книги.
Оранжевая книга
Цель разработки
«Критерии безопасности компьютерных систем» были разработаны Министерством обороны США в
1983 году с целью определения требований безопасности, предъявляемых к аппаратному,
программному и специальному обеспечению компьютерных систем и выработки соответствующей
методологии анализа политики безопасности, реализуемой в компьютерных системах военного
назначения.
Согласно «Оранжевой книге», безопасная компьютерная система — это система, поддерживающая
управление доступом к обрабатываемой в ней информации такое, что только соответствующим образом
уполномоченные пользователи или процессы, действующие от их имени, получают возможность
читать, писать, создавать и удалять информацию.
Таксономия требований и критериев «Оранжевой книги»
В «Оранжевой книге» предложены три категории требований безопасности — политика безопасности,
аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности.
Политика безопасности
Требование 1. Политика безопасности.
Система должна поддерживать точно определенную политику безопасности. Возможность
осуществления субъектами доступа к объектам должна определяться на основании их идентификации и
набора правил управления доступом.
Требование 2. Метки
С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов
контроля доступа. Для реализации нормативного управления доступом система должна обеспечивать
возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень
конфиденциальности объекта и/или режимы доступа к этому объекту.
Аудит (подотченость)
Требование 3. Идентификации и аутентификация
Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться
на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их
идентификаторов (аутентификации) и правил разграничения доступа. Данные, используемые для
идентификации и аутентификации должны быть защищены от несанкционированного доступа,
модификации и уничтожения.
Требование 4. Регистрация и учет
Для определения степени ответственности пользователей за действия в системе, все происходящее в
ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и
регистрироваться в защищенном протоколе.
Корректность
Требование 5. Контроль корректности функционирования средств зашиты
Все средства зашиты должны находиться под контролем средств, проверяющих корректность их
функционирования. Основной принцип контроля корректности состоит в том, что средства контроля
должны быть полностью независимы от средств защиты.
Требование 6. Непрерывность зашиты
Все средства защиты должны быть защищены от несанкционированного вмешательства и/или
отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме
функционирования системы защиты и компьютерной системы в целом.
Гарантии. ТСВ обеспечивает ее собственную работу и защиту от внешнего воздействия. Тестирование
ТСВ должно выполняться согласно документации для обеспечения гарантии того, что нет явных путей
обхода системы защиты неавторизованным пользователем или иного расстройства системы защиты.
21
Документация должна включать:
описание реализованных механизмов защиты, их взаимодействия и руководство пользователя по
их использованию;
руководство для администратора системы на гарантирование системы защиты;
документацию по тестам, включающую описание того, как механизмы безопасности должны
тестироваться и как интерпретировать результаты тестов;
документацию по проекту, описывающую философию системы защиты и того, как эта
философия реализована.
номера класса.
• Группа D. Минимальная защита
Радужная серия
NCSC-TG-011 Безопасная сетевая интерпретация среды (TNI) 1 августа 1990 Красная книга
Оранжевая книга учитывает односистемную безопасность, но сети являются комбинацией систем, и
каждая сеть нуждается в обеспечении безопасности, не требуя при этом полного доверия от всех и
каждой подключенных к ней систем. Красная книга учитывает аспекты оценки безопасности для сети и
сетевых компонентов. Она учитывает изолированные локальные (LAN) сети и глобальные сети (WAN).
NCSC-TG-013 Программная документация RAMP 1989 Розовая книга
NCSC-TG-022 Восстановление в доверенных системах 30 декабря 1991 Жёлтая книга
Профиль защиты
Ключевым понятием концепции информационной безопасности "Федеральных критериев" является
понятие "профиля защиты" (Protection Profile). Профиль защиты - это нормативный документ, который
регламентирует все аспекты безопасности ИТ-продукта в виде требований к его проектированию,
технологии разработки и квалификационному анализу. Как правило, один профиль защиты описывает
несколько близких по структуре и назначению ИТ-продуктов.
Профиль защиты состоит из следующих пяти разделов: описание, обоснование, функциональные
требования к ИТ-продукту, требования к технологии разработки ИТ-продукта, требования к процессу
квалификационного анализа ИТ-продукта.
Описание профиля содержит классификационную информацию, необходимую для его идентификации в
специальной картотеке. Обоснование содержит описание среды эксплуатации, предполагаемых угроз
безопасности и методов использования ИТ-продукта. Кроме того, этот раздел содержит подробный
перечень задач по обеспечению безопасности, решаемых с помощью данного профиля. Эта информация
дает возможность определить, в какой мере данный профиль пригоден для применения в той или иной
ситуации.
Функциональные требования
Раздел функциональных требований к ИТ-продукту содержит описание функциональных возможностей
средств защиты ИТ-продукта и определяет условия, в которых обеспечивается безопасность в виде
перечня угроз, которым успешно противостоят предложенные средства защиты.
Раздел требований к технологии разработки ИТ-продукта охватывает все этапы его создания, начиная
от разработки проекта и заканчивая вводом готовой системы в эксплуатацию. Раздел содержит
требования как к самому процессу разработки, так и к условиям, в которых она проводится, к
используемым технологическим средствам, а также к документированию этого процесса.
25
6.4 Требования к технологии разработки ИТ-продукта
Основное назначение требований к технологии разработки ИТ-продукта - обеспечить адекватность
условий разработки функциональным требованиям, выдвинутым в соответствующем разделе профиля
защиты, и установить ответственность разработчика за корректность реализации этих требований.
Таксономия требований к технологии разработки ИТ-продукта приведена на рис.2.
26
Таксономия функциональных критериев «Канадских критериев»
27
18. Концепция защиты от НСД к информации (РД ГТК РФ). Два направления - АС
и СВТ. Модель нарушителя: уровни возможностей.
Руководящие документы ГТК предлагают две группы критериев безопасности - показатели
защищенности средств вычислительной техники (СВТ) от НСД и критерии защищенности
автоматизированных систем (АС) обработки данных. Первая группа позволяет оценить степень
защищенности отдельно поставляемых потребителю компонентов ВС, а вторая рассчитана на полно-
функциональные системы обработки данных.
28
уровень полномочий пользователей АС на доступ к конфиденциальной информации,
режим обработки данных в АС (коллективный или индивидуальный).
В пределах каждой группы соблюдается иерархия классов защищенности АС.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации
АС. размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса —3Б
и 3А.
Вторая группа включает АС, в которых пользователи имеют одинаковые полномочия доступа ко всей
информации, обрабатываемой и/или хранимой в АС на носителях различного уровня
конфиденциальности. Группа содержит два класса — 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и/или
хранится информация разных уровней конфиденциальности. Не все пользователи имеют равные права
доступа. Группа содержит пять классов — 1Д, 1Г. 1В, 1Б и 1А.
32
интерфейсов. Надежное восстановление: КСЗ должен предусматривать процедуры восстановления
после сбоев и отказов оборудования должны обеспечивать восстановление свойств КСЗ.
21. Межсетевые экраны (МЭ) (РД ГТК РФ). Классификация МЭ. Связь классов с
показателями: управление доступом, идентификация и аутентификация,
регистрация, администрирование (идентификация, аутентификация, регистрация),
простота использования, целостность, восстановление, тестирование, руководство
администратора, тестовая и конструкторская (проектная) документация. Связь
классов с уровнями базовой эталонной модели сетей.
МЭ представляет собой локальное или комплексное средство , реализующее контроль за информацией,
поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации
информации. Классификация МЭ. Устанавливается пять классов защищенности МЭ. Каждый
класс характеризуется определенной минимальной совокупностью требований по защите
информации. Самый низкий класс защищенности - пятый, применяемый для безопасного
взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б,
самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней
средой. Для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса. Для АС класса 3А, 2А в
зависимости от важности обрабатываемой информации должны применяться МЭ следующих
классов: – при обработке информации с грифом “секретно” - не ниже 3 класса; – при обработке
информации с грифом “совершенно секретно” - не ниже 2 3 класса; – при обработке информации
с грифом “особой важности” - не ниже 1 класса. Связь классов с показателями: "-" – нет
требований к данному классу; "+" – новые или дополнительные требования, "=" – требования
совпадают с требованиями к СВТ предыдущего класса.
Связь классов с уровнями базовой эталонной модели сетей. Связь наблюдается в управлении
доступом:
Для 5го класса: МЭ должен обеспечивать фильтрацию на сетевом уровне. Решение по
фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере,
сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.
Для 4го класса: Как и в 5ом, но дополнительно МЭ должен обеспечивать:
Фильтрацию пакетов служебных протоколов, служащих для диагностики и управления
работой сетевых устройств;
Фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки
подлинности сетевых адресов;
Фильтрацию с учетом любых значимых полей сетевых пакетов.
33
МЭ должен обеспечивать идентификацию и аутентификацию всех субъектов прикладного
уровня.
Для 3го класса: Как и в 4ом, но дополнительно МЭ должен обеспечивать:
Фильтрацию на транспортном уровне запросов на установление виртуальных соединений.
При этом, по крайней мере, учитываются транспортные адреса отправителя и получателя;
Фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом, по
крайней мере, учитываются прикладные адреса отправителя и получателя;
Фильтрацию с учетом даты/времени.
Для 2го класса: Как и для 3го, но дополнительно МЭ должен обеспечивать:
Возможность сокрытия субъектов (объектов) и/или прикладных функций защищаемой
сети;
Возможность трансляции сетевых адресов.
~Для регистрации все то же, что и для 3-го, но дополнительно МЭ должен обеспечивать:
Дистанционную сигнализацию попыток нарушения правил фильтрации;
Регистрацию и учет запрашиваемых сервисов прикладного уровня;
Программируемую реакцию на события в МЭ.
Для 1го класса: Как и для 2го, но дополнительно МЭ должен обеспечивать идентификацию и
аутентификацию всех субъектов прикладного уровня.
ГОСТ Р 51188-98
Перед началом испытаний состав технических средств, используемых для проведения проверок ПС на
наличие KB, должен быть согласован с организацией, заказывающей эти проверки. При этом
согласование должно быть оформлено соответствующим актом.
4.9 Наряду с компонентами, указанными в 4.7, в состав испытательного стенда могут входить
соответствующие аппаратные антивирусные средства.
4.10 Состав и функциональное назначение программных средств испытательного стенда определяются
системой защиты, применяемой при проведении испытаний ПС на наличие КВ.
4.16 Проверка ПС на наличие KB в общем случае включает в себя:
- поиск вирусоподобных фрагментов кодов ПС;
- моделирование ситуаций, предположительно способных вызвать активизацию KB;
- анализ особенностей взаимодействия компонентов ПС с окружающей операционной средой;
- отражение результатов проверки в соответствующей документации.
36
5 МЕТОДЫ ПРОВЕДЕНИЯ ИСПЫТАНИЙ ПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ
КОМПЬЮТЕРНЫХ ВИРУСОВ
5.1 При испытаниях ПС на наличие KB используют две основные группы методов обнаружения KB и
защиты программ от них: программные и аппаратно-программные. К программным методам
относятся:
- сканирование – сканирование всех файлов на вирусы;
- обнаружение изменений – когда контролируются изменения в файлах;
- эвристический анализ – анализ процессов и действий, выполняемых программой;
- резидентные «сторожа» - тоже проверка, только в реальном времени;
- вакцинирование ПС – лечение заражённых файлов, путём удаления вирусного кода.
Аппаратно-программные методы основаны на реализации любого (любых) из указанных выше
программных методов защиты ПС от KB с помощью специальных технических устройств.
Виды КВ
Червь – вредоносная программа, целью которой является забить компьютер всяким мусором
Троянская программа (Троян, Троянский конь) – эта программа полностью оправдывает свое
название. Она проникает в другие программы и скрывается там до момента, когда программа-хозяин
будет запущена. До запуска хозяйской программы вирус не может нанести вред. Чаще всего троянский
конь используется для удаления, изменения или кражи данных. Самостоятельно размножатся троян не
может.
Программа-блокировщик (баннер) – эти программы блокируют доступ к операционной системе.
Загрузочные вирусы – поражают загрузочный сектор винчестера (жесткого диска). Их целью является
существенное замедление процесса загрузки операционной системы.
Шпионское ПО – программы, пересылающие данные пользователя сторонним лицам без его ведома.
Шпионы занимаются тем, что изучают поведение пользователя и его излюбленные места в интернете, а
затем демонстрируют рекламу, которая однозначно будет ему интересна.
Руткит – программные средства, которые позволяют злоумышленнику беспрепятственно проникать в
программное обеспечение жертвы, а затем полностью скрыть все следы своего пребывания.
Полиморфные вирусы – вирусы, которые маскируются и перевоплощаются. Во время работы они
могут менять собственный код.
Обнаружение + + + + + +
Удаление + + = = = =
Восстановление + + + = + =
Блокирование - - - + + +
Регистрация + = = + = =
Администрирование + + = + + +
Гарантированность свойств + + + + + +
Документация + = = + = =
Виды вирусов
Вирус (программа-вирус) - исполняемый программный код или интерпретируемый
набор инструкций
Активный вирус - вирус, программный код или часть программного кода которого
находится в оперативной или виртуальной памяти и периодически выполняется.
Известный вирус - вирус, информация о котором содержится в АВС.
Полиморфный вирус - вирус, который обладает способностью полностью или частично
изменять свой код при каждой репликации.
Файловый вирус - вирус, который внедряется в файловую структуру и распространяется
вместе с файлами.
Вирус-спутник - разновидность файлового вируса, который не внедряется явно в
файловую структуру, но использует имя существующей программы, изменяя его или
создавая дополнительный файл с тем же именем, но с другим расширением.
Загрузочный вирус - вирус, в котором реализован алгоритм внедрения в загрузочные
секторы дисков и распространения на этапе загрузки со сменных (отчуждаемых)
носителей данных.
Шифро-вирус - вирус, в котором реализован алгоритм изменения своего исполняемого
кода методами маскирования (шифрования).
Комбинированный вирус - вирус, в котором реализована комбинация различных
алгоритмов внедрения, распространения и маскировки.
Стелс-вирус - вирус, в котором реализован алгоритм обеспечивающий активное
противодействие процедуре его обнаружения с помощью соответствующего
изменения выполнения функций операционной системы.
Макрокомандный вирус - вирус, объектом-источником которого является
интерпретируемая последовательность инструкций.
Классификация вирусов
38
В настоящее время известно более 5000 программных вирусов, их можно
классифицировать по следующим признакам:
Среде обитания
Способу заражения среды обитания
Воздействию
Особенностям алгоритма
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые,
загрузочные и файлово-загрузочные.
По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный
вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти
свою резидентную часть, которая потом перехватывает обращение операционной
системы к объектам заражения и внедряется в них, оставаясь активными вплоть до
выключения компьютера. Нерезидентные вирусы не заражают память компьютера и
являются активными ограниченное время.
По степени воздействия вирусы можно разделить на следующие виды:
¨ неопасные; опасные вирусы; очень опасные.
По особенностям алгоритма работы вирусы делятся на резидентные, стелс-вирусы, поли
морфные вирусы и вирусы, использующие нестандартные приемы.
ОК(CC) – Общие критерии, исторически сложившееся название, часто используемое во всех частях
настоящего стандарта вместо его официального названия "Критерии оценки безопасности
информационных технологий".
Настоящий стандарт, состоящий из трех частей, определяет критерии, за которыми исторически
закрепилось название "Общие критерии" (ОК). ОК предназначены для использования в качестве
основы при оценке характеристик безопасности продуктов и систем информационных технологий
40
(ИТ). Устанавливая общую базу критериев, стандарт делает результаты оценки безопасности ИТ
значимыми для более широкой аудитории.
ОК дают возможность сравнения результатов независимых оценок безопасности. Результаты оценки
помогут потребителям решить, являются ли продукты или системы ИТ достаточно безопасными
для их предполагаемого применения, и приемлемы ли прогнозируемые риски при их
использовании.
ОК полезны в качестве руководства как при разработке продуктов или систем с функциями
безопасности ИТ, так и при приобретении коммерческих продуктов и систем с такими функциями.
При оценке такой продукт или систему ИТ называют объектом оценки (ОО).
ОК направлены на защиту информации от несанкционированного раскрытия, модификации или потери
возможности ее использования. Категории защиты, относящиеся к этим трем типам нарушения
безопасности, обычно называют конфиденциальностью, целостностью и доступностью
соответственно.
Процесс оценки ОО может проводиться параллельно с разработкой или следом за ней. Основными
исходными материалами для оценки ОО являются:
а) совокупность свидетельств, характеризующих ОО, включая прошедшее оценку ЗБ в качестве
основы оценки ОО;
б) ОО, безопасность которого требуется оценить;
в) критерии, методология и система оценки.
41
дополнительной детализацией. Наименее абстрактным представлением является
непосредственно реализация ОО.
Процесс оценки ОО, как показано на рисунке 4.4, может проводиться параллельно
с разработкой или следом за ней. Основными исходными материалами для оценки ОО
являются:
а) совокупность свидетельств, характеризующих ОО, включая прошедшее оценку
ЗБ в качестве основы оценки ОО;
б) ОО, безопасность которого требуется оценить;
в) критерии, методология и система оценки.
42
Эксплуатация ОО – дело потребителя, однако в процессе эксплуатации могут
обнаружиться ошибки или уязвимости. В этом случае ОО необходимо обновить,
исправив существующие ошибки, и снова подвергнуть оценке. В некоторых случаях
необязательно оценивать по новой весь ОО, достаточно провести оценку изменений,
добавленных в обновленную версию ОО. Пусть и в ОК существует класс поддержки
доверия (АТА, или как там его), детальное описание процесса переоценки выходит за
рамки ОК.
43
29. Последовательность формирования требований и спецификаций (ГОСТ 15408):
среда безопасности, цели безопасности, требования безопасности ИТ и краткая
спецификация ОО.
Цель безопасности (security objective): Изложенное намерение противостоять
установленным угрозам и/или удовлетворять установленной политике безопасности
организации и предположениям.
Среда безопасности включает в себя законы, политики безопасности организаций, опыт,
специальные навыки и знания, имеющие отношение к безопасности. Таким образом, она
определяет контекст предполагаемого применения ОО. Среда безопасности включает
также угрозы безопасности, присутствие которых в этой среде установлено или
предполагается.
При установлении среды безопасности автор ПЗ или ЗБ должен принять во внимание:
a) физическую среду ОО в той ее части, которая определяет все аспекты
эксплуатационной среды ОО, касающиеся его безопасности, включая известные
мероприятия, относящиеся к физической защите и персоналу;
b) активы, которые требуют защиты элементами ОО и к которым применяются
требования или политики безопасности; они могут включать в себя активы, к которым
это относится непосредственно, например файлы и базы данных, а также активы,
которые косвенно подчинены требованиям безопасности, например, данные авторизации
и собственно реализации ИТ;
c) предназначение ОО, включая тип продукта и предполагаемую сферу его
применения.
Цели безопасности
Результаты анализа среды безопасности могут затем быть использованы для
установления целей безопасности, которые направлены на противостояние
установленным угрозам, а также проистекают из установленной политики безопасности
организации и сделанных предположений. Цели безопасности должны быть согласованы
с установленными целями применения или предназначением ОО как продукта, а также
со всеми известными сведениями о физической среде ОО.
Смысл определения целей безопасности заключается в том, чтобы соотнести их со всеми
поставленными ранее вопросами безопасности и декларировать, какие аспекты
безопасности связаны непосредственно с ОО, а какие - с его средой. Такое разделение
основано на совокупном учете инженерного опыта, политики безопасности,
экономических факторов и решения о приемлемости рисков.
Требования безопасности ИТ
Требования безопасности ИТ являются результатом преобразования целей безопасности
в совокупность требований безопасности для ОО и требований безопасности для среды,
которые, в случае их удовлетворения, обеспечат для ОО способность достижения целей
его безопасности.
В ИСО/МЭК 15408 представлены две различные категории требований безопасности -
функциональные требования и требования доверия.
Функциональные требования предъявляются к тем функциям ОО, которые
предназначены для поддержания безопасности ИТ и определяют желательный
безопасный режим функционирования ОО. Функциональные требования определены в
ИСО/МЭК 15408-2. Примерами функциональных требований являются требования к
44
идентификации, аутентификации, аудиту безопасности, неотказуемости источника
(невозможности отказа от факта отправления сообщения).
45
Успешное проведение процесса обеспечения непрерывности деятельности организации,
как правило, позволяет получить ощутимый положительный результат во многих сферах
деятельности.
Основными стандартами по обеспечению непрерывности бизнеса являются ГОСТы
серии 12700, международный стандарт ISO 22301.
Результаты Анализа влияния на бизнес и Оценки рисков являются основой для
построения Стратегии непрерывности услуг в соответствии с потребностями бизнеса.
Большинство организаций должны соблюдать баланс уменьшения рисков и
формирования механизмов восстановления. Как бы хорошо ни проводились действия по
уменьшению рисков, невозможно исключить их все. Поэтому всегда необходимо
внедрять механизмы восстановления в интеграции с процессом Управления
доступностью, так как именно доступность услуг пострадает в первую очередь при
возникновении неприятных для бизнеса событий.
Опции восстановления в рамках ITSCM, которые должны быть учтены при
формировании стратегии:
переход на ручную работу для некоторых типов услуг может стать хорошей
альтернативой на короткий период до восстановления услуги
взаимные соглашения являются еще одной опцией для восстановления.
Предполагают заключение соглашений между организациями, использующими
похожие технологии.
постепенное восстановление (Gradual Recovery) - способ восстановления, также
известный как "холодное резервирование". Предусматривается восстановление
услуги в течение более чем 72 часов
промежуточное восстановление (Intermediate Recovery) - способ
восстановления, также известный как "теплое резервирование". Предусматривается
восстановление услуги в течение 24 - 72 часов.
быстрое восстановление (Fast Recovery) - способ восстановления.
Предусматривается восстановление услуги за короткий промежуток времени,
обычно менее 24 часов. При быстром восстановлении обычно используется
выделенный стационарный резервный центр с компьютерными системами и ПО,
сконфигурированными для работы услуг.
немедленное восстановление (Immediate recovery) - способ восстановления,
также известный как "горячее резервирование". Предусматривается
восстановление услуги без прерывания услуги. Немедленное восстановление
обычно использует технологии зеркалирования, балансировки загрузки и
разделения площадок установки оборудования
Стратегия обеспечения непрерывности должна включать в себя все рассмотренные
выше способы восстановления. Различные услуги, используемые организацией,
требуют различных подходов к восстановлению и уменьшению рисков сбоя. Какая
бы опция ни выбиралась, она должна быть экономически эффективной. Главное
правило - чем дольше бизнес может обходиться без услуги, тем дешевле должно быть
решение по обеспечению ее непрерывности.
46
31. Представление требований безопасности: классы, семейства, компоненты,
элементы (ГОСТ 15408). Виды связей и зависимостей между компонентами,
разрешенные операции с элементами.
Профиль
Класс А Семейство J Компонент защиты
Возможные источники
Компонент Требований безопасности
Семейство I Компонент для ПЗ
…..
Компонент Компонент
….. Задание по
Компонент Каталоги требований безопасности
безопасности Возможные источники
Дополнительные
Требований безопасности
требования
для ЗБ
безопасности,
не входящие в ОК
49
расширения, подключение дополнительных видеокамер и устройств, а также интеграция с
другими системами (охранная сигнализация, контроль доступа и другие).
Гос тайна и конфед. информация.
33. Источники требований безопасности (ГОСТ 15408). Виды оценок: ПЗ, ЗБ, ОО.
Поддержка доверия.
Виды оценок
Оценка ПЗ
Оценка ПЗ выполняется согласно критериям оценки ПЗ, содержащимся в части 3
настоящего стандарта. Целью такой оценки является продемонстрировать, что профиль
50
полон, непротиворечив, технически грамотен и пригоден для использования при
изложении требований к ОО, предполагаемому для оценки.
Оценка ЗБ
Оценка ЗБ для ОО выполняется согласно критериям оценки ЗБ, содержащимся в
части 3 настоящего стандарта. Такая оценка имеет две цели: во-первых,
продемонстрировать, что ЗБ является полным, непротиворечивым, технически
грамотным и, следовательно, пригодным для использования в качестве основы для
оценки соответствующего ОО; во-вторых, в случае, когда в ЗБ имеется утверждение о
соответствии некоторому ПЗ, – продемонстрировать, что ЗБ должным образом отвечает
требованиям этого ПЗ.
Оценка ОО
Оценка ОО производится согласно критериям оценки, содержащимся в части 3
настоящего стандарта, с использованием в качестве основы ЗБ, прошедшего оценку.
Цель такой оценки – продемонстрировать, что ОО отвечает требованиям безопасности,
содержащимся в ЗБ.
Поддержка доверия
Поддержка доверия к ОО осуществляется в соответствии с критериями оценки из
части 3 настоящего стандарта с использованием предварительно оцененного ОО в
качестве основы. Цель состоит в том, чтобы убедиться, что доверие к ОО, установленное
ранее, поддерживается, и что ОО будет продолжать отвечать требованиям безопасности
после внесения изменений в него или в его среду.
Цели:
1) события ИБ должны быть обнаружены и эффективно обработаны, в частности,
определены как относящиеся или не относящиеся к инцидентам ИБ*;
2) идентифицированные инциденты ИБ должны быть оценены, и реагирование на них
должно быть осуществлено наиболее целесообразным и результативным способом;
3) воздействия инцидентов ИБ на организацию и ее бизнес-операции необходимо
минимизировать соответствующими защитными мерами, являющимися частью процесса
реагирования на инцидент, иногда наряду с применением соответствующих элементов
плана(ов) обеспечения непрерывности бизнеса;
4) из инцидентов ИБ и их менеджмента необходимо быстро извлечь уроки. Это
делается с целью повышения шансов предотвращения инцидентов ИБ в будущем,
улучшения внедрения и использования защитных мер ИБ, улучшения общей системы
менеджмента инцидентов ИБ
Первая оценка и предварительное решение
В группе обеспечения эксплуатации системы менеджмента инцидентов ИБ
принимающее лицо должно подтвердить получение заполненной формы отчета, ввести
ее в базу данных событий/инцидентов ИБ и проанализировать данную форму отчета.
Далее должностное лицо должно попытаться получить любые уточнения от
сообщившего лица о событии ИБ и собрать требуемую дополнительную информацию,
считающуюся доступной, как от сообщившего о событии лица, так и из любого другого
51
места. Затем представитель группы обеспечения эксплуатации должен провести оценку
для определения, подходит ли это событие под категорию инцидента ИБ или является
ложным. Если событие ИБ определяется как ложное, необходимо заполнить форму
отчета и передать в ГРИИБ для записи в базу данных и дальнейшего анализа, а также
создать копии для сообщившего о событии лица и его/ее местного руководителя.
Вторая оценка и подтверждение инцидента информационной безопасности
Вторая оценка и подтверждение инцидента ИБ или какое-либо другое решение
относительно того, надо ли отнести событие ИБ к инциденту ИБ, должны входить в
обязанности ГРИИБ.
Если все еще остается какая-либо неопределенность относительно аутентичности
инцидента ИБ или полноты полученной информации, то сотрудник ГРИИБ должен
провести вторую оценку для определения реальности или ложности инцидента ИБ. Если
инцидент ИБ определен как "ложный", необходимо заполнить отчет о событии ИБ,
добавить его в базу данных событий/инцидентов ИБ и передать руководителю ГРИИБ.
Копии отчета необходимо передать группе обеспечения эксплуатации, лицу,
сообщившему о событии, и его/ее местному руководителю.
35. Особенности профиля защиты (ПЗ) (ГОСТ 15408). Структура ПЗ: введение,
описание ОО. среда безопасности ОО, цели безопасности, требования безопасности
ОО, замечания по применению, обоснование.
ПЗ определяет независимую от конкретной реализации совокупность требований ИТ для
некоторой категории ОО. Такие ОО предназначены для удовлетворения общих запросов потребителей в
безопасности ИТ. Поэтому потребители могут выразить свои запросы в безопасности ИТ, используя
существующий или формируя новый ПЗ, без ссылки на какой-либо конкретный ОО. (см. рис. 1)
Введение ПЗ
Введение ПЗ должно содержать информацию управления документооборотом и обзорную
информацию, необходимые для работы с реестром ПЗ:
а) идентификация ПЗ должна обеспечить маркировку и описательную информацию,
необходимые, чтобы идентифицировать, каталогизировать, регистрировать ПЗ и ссылаться на него;
б) аннотация ПЗ должна дать общую характеристику ПЗ в описательной форме. Она
должна быть достаточно подробной, чтобы потенциальный пользователь ПЗ мог решить, представляет
ли ПЗ для него интерес.
Описание ОО
Эта часть ПЗ должна содержать описание ОО, служащее цели лучшего понимания его
требований безопасности и дающее представление о типе продукта и основных характерных
особенностях ИТ применительно к ОО.
Описание ОО предоставляет контекст для оценки. Информация, содержащаяся в описании ОО,
будет использована в процессе оценки для выявления противоречий
52
Рисунок 1 – Содержание профиля защиты
Среда безопасности ОО
Изложение среды безопасности ОО должно содержать описание аспектов безопасности среды,
в которой предполагается использовать ОО, и ожидаемый способ его применения. Это изложение
должно включать следующее.
а) Описание предположений, содержащее аспекты безопасности среды, в которой ОО будет
использоваться или предполагается к использованию.
б) Описание угроз, включающее все те угрозы активам, против которых требуется защита
средствами ОО или его среды. Заметим, что необходимо приводить не все угрозы, которые могут
встретиться в среде, а только те из них, которые влияют на безопасную эксплуатацию ОО.
в) Описание политики безопасности организации, идентифицирующее и, при
необходимости, объясняющее все положения политики безопасности организации или правила,
которым должен подчиняться объект оценки.
Цели безопасности
Изложение целей безопасности должно определять цели безопасности как для ОО, так и для
его среды. Цели безопасности должны учитывать все установленные аспекты среды безопасности.
Цели безопасности должны отражать изложенное намерение противостоять всем установленным
угрозам и быть подходящими для этого, а также охватывать все предположения безопасности и
установленную политику безопасности организации. Должны быть идентифицированы категории целей
безопасности, приведенные ниже. Если при этом противостояние угрозе или проведение политики
53
безопасности частично возлагается на ОО, а частично на его среду, соответствующая цель безопасности
должна повторяться в каждой категории.
Требования безопасности ИТ
В этой части ПЗ подробно определяются требования безопасности ИТ, которые должны
удовлетворяться ОО или его средой. Требования безопасности ОО должны быть изложены следующим
образом.
а) При изложении требований безопасности ОО должны быть определены
функциональные требования и требования доверия, которым должны удовлетворять ОО и
свидетельства поддержки его оценки для достижения целей безопасности ОО.
б) Необязательное изложение требований безопасности для среды ИТ должно определять
требования безопасности ИТ, которым должна отвечать среда ИТ этого ОО. Если безопасность ОО не
зависит от среды ИТ, то эта часть ЗБ может быть опущена.
в) А также общие условия в равной степени относятся к выражению функциональных
требований и требований доверия как для ОО, так и для его среды ИТ.
Обоснование
В этой части ПЗ представляется свидетельство, используемое при оценке ПЗ. Это
свидетельство поддерживает утверждения, что ПЗ является полной и взаимосвязанной совокупностью
требований, и что соответствующий ему ОО обеспечит эффективный набор контрмер безопасности ИТ
в определенной среде безопасности. Обоснование должно включать следующее.
а) Логическое обоснование целей безопасности, демонстрирующее, что изложенные цели
безопасности сопоставлены со всеми идентифицированными аспектами среды безопасности ОО и
пригодны для их охвата.
б) Логическое обоснование требований безопасности, демонстрирующее, что
совокупность требований безопасности (ОО и его среды) пригодна для достижения целей безопасности
и сопоставима с ними
Оценка риска.
Оценка риска часто проводится за две (или более) итерации. Сначала проводится
высокоуровневая оценка для идентификации потенциально высоких рисков, служащих
основанием для дальнейшей оценки. Следующая итерация может включать дальнейшее
углубленное рассмотрение потенциально высоких рисков. В тех случаях, когда
полученная информация недостаточна для оценки риска, проводится более детальный
анализ, возможно, по отдельным частям сферы действия, и, возможно, с использованием
иного метода.
Оценка риска основывается на понимании риска, полученном при анализе риска,
и используется при принятии решений о будущих действиях.
Обработка риска.
Эффективность обработки риска зависит от результатов оценки риска. Обработка
риска может не обеспечить сразу же приемлемый уровень остаточного риска. В этой
ситуации потребуется, если необходимо, еще одна итерация оценки риска с
измененными параметрами контекста (например, критериев оценки риска, принятия
риска и влияния), за которой последует очередная процедура обработки риска
54
Входные данные. Наличие плана обработки риска и оценки остаточного риска
является необходимым условием решения руководства организации о принятии риска.
Краткий обзор
ЗБ содержит требования безопасности ИТ для конкретного ОО и специфицирует функции
безопасности и меры доверия, предлагаемые объектом оценки для удовлетворения установленных
требований.
ЗБ для ОО является основой для соглашения между разработчиками, оценщиками и, где
необходимо, потребителями по характеристикам безопасности ОО и области применения оценки. Круг
лиц, заинтересованных в ЗБ, не ограничивается только ответственными за разработку ОО и его оценку,
но может включать также ответственных за управление, маркетинг, продажу, инсталляцию,
конфигурирование, функционирование и использование ОО.
55
В ЗБ разрешено включать требования из одного или нескольких ПЗ или утверждать о
соответствии им.
Содержание ЗБ представлено на рисунке В.1, который рекомендуется использовать при
создании структурной схемы ЗБ.
Введение ЗБ
Введение ЗБ должно содержать информацию для управления документооборотом и обзорную
информацию:
а) идентификация ЗБ должна обеспечить маркировку и описательную информацию,
необходимые, чтобы контролировать и идентифицировать ЗБ и ОО, к которому оно относится;
б) аннотация ЗБ должна дать общую характеристику ЗБ в описательной форме. Она должна
быть достаточно подробной, чтобы потенциальный потребитель ОО мог решить, представляет ли ОО
для него интерес.;
в) утверждение о соответствии ОК должно изложить каждое поддающееся оценке утверждение
о соответствии ОО Общим критериям,
56
(аппаратные и/или программные компоненты/модули), так и логической его организации (характерные
возможности ИТ и безопасности, предлагаемые объектом оценки).
Описание ОО предоставляет контекст для оценки. Информация, содержащаяся в описании ОО,
будет использована в процессе оценки для выявления противоречий. Если ОО представляет собой
продукт или систему, основной функцией которых является безопасность, то эту часть ЗБ разрешается
использовать для более подробного описания контекста возможного применения ОО.
Среда безопасности ОО
Изложение среды безопасности ОО должно содержать описание аспектов безопасности среды,
в которой предполагается использовать ОО, и ожидаемый способ его применения. Это изложение
должно включать следующее.
а) Описание предположений, содержащее аспекты безопасности среды, в которой ОО будет
использоваться или предполагается к использованию
б) Описание угроз, содержащее все те угрозы активам, против которых требуется защита
средствами ОО или его среды. Заметим, что необходимо приводить не все угрозы, которые могут
встретиться в среде, а только те из них, которые влияют на безопасную эксплуатацию ОО.
в) Описание политики безопасности организации, идентифицирующее и, при необходимости,
объясняющее все положения политики безопасности организации или правила, которым должен
подчиняться объект оценки. Для представления любого положения политики, позволяющего
использовать его для установления четких целей безопасности, могут понадобиться объяснения и
интерпретации.
Цели безопасности
Изложение целей безопасности должно определять цели безопасности как для ОО, так и для
его среды. Цели безопасности должны учитывать все установленные аспекты среды безопасности.
Цели безопасности должны отражать изложенное намерение противостоять всем установленным
угрозам и быть подходящими для этого, а также охватывать все предположения безопасности и
установленную политику безопасности организации. Должны быть идентифицированы категории целей
безопасности, приведенные ниже. Если при этом противостояние угрозе или проведение политики
безопасности частично возлагается на ОО, а частично на его среду, соответствующая цель безопасности
должна повторяться в каждой категории.
Требования безопасности ИТ
В этой части ЗБ подробно определяются требования безопасности ИТ, которые должны
удовлетворяться ОО или его средой. Требования безопасности ОО должны быть изложены следующим
образом.
а) При изложении требований безопасности ОО должны быть определены функциональные
требования и требования доверия, которым должны удовлетворять ОО и свидетельства поддержки его
оценки для достижения целей безопасности ОО. Требования безопасности ОО должны излагаться
следующим образом.
б) Необязательное изложение требований безопасности для среды ИТ должно определять
требования безопасности ИТ, которым должна отвечать среда ИТ этого ОО. Если безопасность ОО не
зависит от среды ИТ, то эта часть ЗБ может быть опущена.
Отметим, что, хотя требования безопасности среды, не относящиеся к ИТ, часто бывают
полезны на практике, не требуется, чтобы они являлись формальной частью ЗБ, поскольку они не
связаны непосредственно с реализацией ОО.
в) Перечисленные ниже общие условия в равной степени относятся к выражению
функциональных требований и требований доверия как для ОО, так и для его среды ИТ.
Краткая спецификация ОО
Краткая спецификация ОО должна определить отображение требований безопасности для ОО.
Эта спецификация должна предоставить описание функций безопасности и мер доверия к ОО, которые
отвечают требованиям безопасности ОО. Следует отметить, что информация о функциях безопасности,
являющаяся частью краткой спецификации ОО, в некоторых случаях может быть идентична
информации, предоставляемой для ОО частью требований семейства ADV_FSP.
Краткая спецификация ОО включает следующее.
а) Изложение функций безопасности ОО, которое должно охватывать все функции
безопасности ИТ и определять, каким образом эти функции удовлетворяют функциональным
требованиям безопасности ОО.
57
б) Изложение мер доверия, которое должно специфицировать меры доверия к ОО, заявленные
для удовлетворения изложенных требований доверия.
Утверждения о соответствии ПЗ
В ЗБ могут быть сделаны утверждения, что ОО соответствует требованиям одного или,
возможно, нескольких ПЗ. Для любых сделанных утверждений о соответствии ПЗ, ЗБ должно включать
изложение утверждения о соответствии ПЗ, содержащее объяснение, строгое обоснование и любые
другие вспомогательные материалы, необходимые для того, чтобы иметь достаточные основания для
данного утверждения.
Содержание и представление в ЗБ целей и требований для ОО может зависеть от того, делаются
ли для ОО утверждения о соответствии ПЗ. Влияние на ЗБ утверждения о соответствии ПЗ может быть
сведено в итоге к одному из следующих вариантов.
а) Если утверждение о соответствии ПЗ не делается, то следует привести полное описание
целей и требований безопасности ОО, как определено в данном приложении.
б) Если в ЗБ утверждается только соответствие требованиям какого-либо ПЗ без
необходимости их дальнейшего уточнения, то ссылки на ПЗ достаточно, чтобы определить и строго
обосновать цели и требования безопасности ОО
в) Если в ЗБ утверждается о соответствии требованиям какого-либо ПЗ, и требования
этого ПЗ нуждаются в дальнейшем уточнении, то в ЗБ должно быть показано, что требования по
уточнению ПЗ удовлетворены. Такая ситуация обычно возникает, если ПЗ содержит незавершенные
операции.
г) Если в ЗБ утверждается соответствие требованиям какого-либо ПЗ, но последний
расширяется путем добавления дополнительных целей и требований, то в ЗБ должны быть
определены эти дополнения с учетом того, что ссылки на ПЗ может быть достаточно для определения
целей и требований безопасности ПЗ.
д) Случай, когда в ЗБ утверждается о частичном соответствии ПЗ, не приемлем для
оценки в рамках ОК.
Обоснование
В этой части ЗБ представляется свидетельство, используемое при оценке ЗБ. Это свидетельство
поддерживает утверждения, что ЗБ является полной и взаимосвязанной совокупностью требований, и
что соответствующий ему ОО обеспечит эффективный набор контрмер безопасности ИТ в
определенной среде безопасности, а краткая спецификация ОО согласуется с требованиями.
Обоснование также демонстрирует, что все утверждения о соответствии ПЗ справедливы. Обоснование
должно включать следующее.
а) Логическое обоснование целей безопасности, демонстрирующее, что изложенные цели
безопасности сопоставимы со всеми идентифицированными аспектами среды безопасности ОО и
пригодны для их охвата.
б) Логическое обоснование требований безопасности, демонстрирующее, что совокупность
требований безопасности (ОО и его среды) пригодна для достижения целей безопасности и
сопоставлена с ними.
в) Логическое обоснование краткой спецификации ОО, показывающее, что функции
безопасности и меры доверия к ОО пригодны, чтобы отвечать требованиям безопасности ОО.
г) Логическое обоснование утверждений о соответствии ПЗ, объясняющее любые различия
между целями и требованиями безопасности ЗБ и любого ПЗ, соответствие которому утверждается
АУДИТ КРАТКО
Аудит представляет собой независимую экспертизу отдельных областей функционирования
организации, проводимую по инициативе ее руководства или акционеров, либо в соответствии с планом
проведения внутреннего аудита.
Основными целями проведения аудита безопасности являются:
анализ рисков, связанных с возможностью осуществления угроз безопасности в
отношении ресурсов ИС;
58
оценка текущего уровня защищенности ИС;
локализация узких мест в системе защиты ИС;
оценка соответствия ИС существующим стандартам в области информационной
безопасности;
выработка рекомендаций по внедрению новых и повышению эффективности
существующих механизмов безопасности ИС.
Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов:
Инициирование обследования
Сбор информации
Анализ полученных данных
Выработка рекомендаций
Подготовка отчета по результатам обследования
СТАНДАРТЫ КРАТКО
Результатом проведения аудита, в последнее время, все чаще становится сертификат,
удостоверяющих соответствие обследуемой ИС требованиям признанного международного стандарта.
В настоящей статье рассмотрено несколько стандартов и программ сертификации, имеющих
практическое значение.
Международные стандарты ISO17799 и ISO15408 служат основой для проведения любых работ в
области информационной безопасности, в том числе и аудита. ISO17799 сосредоточен на вопросах
организации и управления безопасностью, в то время как ISO15408 определяет детальные требования,
предъявляемые к программно-техническим механизмам защиты информации.
Спецификация SysTrust в настоящее время достаточно широко используется аудиторскими
компаниями, традиционно выполняющими финансовый аудит для своих клиентов и предлагающих
услугу ИТ аудита в качестве дополнения к финансовому аудиту.
Немецкий стандарт «BSI\IT Baseline Protection Manual» является наиболее содержательным
руководством по обеспечению безопасности ИТ и представляет несомненную практическую ценность
для всех специалистов, занимающихся вопросами информационной безопасности.
Практические стандарты и руководства по обеспечению информационной безопасности,
разрабатываемые в рамках проекта SCORE, ориентированы на технических специалистов и
являются в техническом плане наиболее совершенными.
Программа сертификации Интернет сайтов по требованиям информационной безопасности и
соответствующая спецификация «SANS/GIAC Site Certification», совсем недавно предложенная
институтом SANS, безусловно, заслуживает внимания в связи с неизменно возрастающей
актуальностью вопросов защиты ИС организаций от атак со стороны сети Интернет и увеличением
доли соответствующих работ при проведении аудита безопасности.
59
Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в
целом соответствуют этапам проведения комплексного ИТ аудита АС, который включает в себя
следующее:
Инициирование процедуры аудита
Сбор информации аудита
Анализ данных аудита
Выработка рекомендаций
Подготовка аудиторского отчета
Инициирование процедуры аудита
Аудит проводится не по инициативе аудитора, а по инициативе руководства компании, которое
в данном вопросе является основной заинтересованной стороной. Поддержка руководства компании
является необходимым условием для проведения аудита.
Аудит представляет собой комплекс мероприятий, в которых помимо самого аудитора,
оказываются задействованными представители большинства структурных подразделений компании. На
этапе инициирования процедуры аудита должны быть определены границы проведения обследования.
Одни информационные подсистемы компании не являются достаточно критичными и их можно
исключить из границ проведения обследования. Другие подсистемы могут оказаться недоступными для
аудита из-за соображений конфиденциальности.
60
Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с
большим доверием со стороны клиентов и партнеров.
Значение международных стандартов ISO17799 и ISO15408 трудно переоценить. Эти
стандарты служат основой для проведения любых работ в области информационной безопасности, в
том числе и аудита. ISO17799 сосредоточен на вопросах организации и управления безопасностью, в то
время как ISO15408 определяет детальные требования, предъявляемые к программно-техническим
механизмам защиты информации.
ISO 17799: Code of Practice for Information Security Management
Наиболее полно критерии для оценки механизмов безопасности организационного уровня
представлены в международном стандарте ISO 17799: Code of Practice for Information Security
Management (Практические правила управления информационной безопасностью), принятом в 2000
году. ISO 17799 был разработан на основе британского стандарта BS 7799.
ISO 17799 может использоваться в качестве критериев для оценки механизмов безопасности
организационного уровня, включая административные, процедурные и физические меры защиты.
ISO 15408: Common Criteria for Information Technology Security Evaluation
Наиболее полно критерии для оценки механизмов безопасности программно-технического
уровня представлены в международном стандарте ISO 15408: Common Criteria for Information
Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий),
принятом в 1999 году.
Общие критерии оценки безопасности информационных технологий (далее «Общие критерии»)
определяют функциональные требования безопасности (security functional requirements) и требования к
адекватности реализации функций безопасности (security assurance requirements).
При проведении работ по аудиту безопасности, данные требования могут использоваться в качестве
руководства и критериев для анализа уязвимостей ИС.
SysTrust
По существу, аудит в области информационных технологий, хотя и не имеет никакого
отношения к финансовому аудиту, часто является дополнением к нему в качестве коммерческой услуги,
предлагаемой аудиторскими фирмами своим клиентам. Отвечая потребностям бизнеса, Американским
Институтом Сертифицированных Публичных Бухгалтеров (American Institute of Certified Public
Accountants (AICPA)) и Канадским Институтом Общественных Бухгалтеров (Canadian Institute of
Chartered Accountants (CICA)) разработали
стандарт SysTrust для проведения ИТ аудита, который является дополнением к финансовому
аудиту. SysTrust позволяет финансовым аудиторам расширить область своей деятельности, путем
использования простого и понятного набора требований для оценки надежности и безопасности ИС.
BSI\IT Baseline Protection Manual
Немецкий стандарт "Руководство по обеспечению безопасности ИТ базового уровня" (IT
Baseline Protection Manual) разрабатывается Агенством Информационной Безопасность Германии (BSI -
Bundesamt für Sicherheit in der Informationstechnik (German Information Security Agency).
Этот документ является, пожалуй, самым содержательным руководством по информационной
безопасности и по многим параметрам превосходит все остальные стандарты. Он имеется в свободном
доступе в сети Интернет. В нем содержаться подробные руководства по обеспечению информационной
безопасности применительно к различным аспектам функционирования ИС и различным областям ИТ.
Практические стандарты SCORE и программа сертификации SANS/GIAC Site
Certification
SCORE (Security Consensus Operational Readiness Evaluation) является совместным проектом
института SANS и Центра безопасности Интернет (Center for Internet Security(CIS)). Профессионалы-
практики в области информационной безопасности из различных организаций объединились в рамках
проекта SCORE с целью разработки базового (минимально необходимого) набора практических
стандартов и руководств по обеспечению безопасности для различных операционных платформ.
61
39. Особенности функциональных требований безопасности ИТ-продуктов (ГОСТ
15408). Представление функциональных требований. Структура класса. Структура
семейства (ранжирование, управление, аудит). Структура компонента
(подчиненность по иерархии, зависимости - прямые, косвенные, выбираемые,
операции - итерация, назначение, выбор, уточнение). Функциональный элемент.
Функциональный
класс
Имя класса
Представление класса
Функциональные
функциональных семейств.
Рисунок 2.1 – Структура функционального класса
Имя класса: Имя класса содержит информацию, необходимую для идентификации функционального
класса и отнесения его к определенной категории. Каждый функциональный класс имеет
уникальное имя. Информация о категории состоит из краткого имени, состоящего из трех букв
латинского алфавита. Краткое имя класса используется при задании кратких имен семейств этого
класса.
Представление класса: Представление класса обобщает участие семейств класса в достижении целей
безопасности. Определение функциональных классов не отражает никакую формальную
таксономию в спецификации требований. Представление класса содержит рисунок, описывающий
все семейства этого класса и иерархию компонентов в каждом семействе, как объясняется в
подразделе 2.2.
Структура семейства
Рисунок 2.2 иллюстрирует структуру функционального семейства в виде диаграммы.
Функциональное
семейство
Имя семейства
Характеристика
Ранжирование
Управление
Аудит
Компоненты
Рисунок 2.2 – Структура функционального семейства
Имя семейства: Имя семейства содержит описательную информацию, необходимую, чтобы
идентифицировать и категорировать функциональное семейство. Каждое функциональное
семейство имеет уникальное имя. Информация о категории состоит из краткого имени,
62
включающего семь символов. Первые три символа идентичны краткому имени класса, далее
следуют символ подчеркивания и краткое имя семейства в виде XXX_YYY. Уникальная краткая
форма имени семейства предоставляет основное имя ссылки для компонентов.
Характеристика семейства: Характеристика семейства– это описание функционального семейства, в
котором излагаются его цели безопасности и общее описание функциональных требований. Более
детально они описаны ниже:
а) цели безопасности семейства характеризуют задачу безопасности, которая может быть решена с
помощью ОО, включающего компонент из этого семейства;
б) описание функциональных требований обобщает все требования, которые включены в компонент
(компоненты). Описание ориентировано на разработчиков ПЗ, ЗБ и функциональных пакетов,
которые хотели бы определить, соответствует ли семейство их конкретным требованиям.
Ранжирование компонентов: Функциональные семейства содержат один или несколько компонентов,
каждый из которых может быть выбран для включения в ПЗ, ЗБ и функциональные пакеты. Цель
этого раздела состоит в том, чтобы предоставить пользователям информацию для выбора
подходящего функционального компонента, как только семейство идентифицировано как
необходимая или полезная часть их требований безопасности.
В этом пункте описания функционального семейства описаны имеющиеся компоненты и их логическое
обоснование. Детализация компонентов производится в описании каждого компонента. Связи
между компонентами в пределах функционального семейства могут быть иерархическими и
неиерархическими. Компонент иерархичен (т.е. выше по иерархии) по отношению к другому
компоненту, если он предлагает большую безопасность. Описания семейств содержат графическое
представление иерархии компонентов, объясняемое в подразделе 2.2.
Управление: Требования управления содержат информацию для разработчиков ПЗ/ЗБ, учитываемую
при определении действий по управлению для данного компонента. Требования управления
детализированы в компонентах класса "Управление безопасностью" (FMT). Разработчик ПЗ/ЗБ
может выбрать какие-либо из имеющихся требований управления или включить новые, не
указанные в настоящем стандарте. В последнем случае следует представить необходимую
информацию.
Аудит: Требования аудита содержат события, потенциально подвергаемые аудиту, для их отбора
разработчиками ПЗ/ЗБ при условии включения требований из класса FAU "Аудит безопасности" в
ПЗ/ЗБ. Эти требования включают относящиеся к безопасности события применительно к
различным уровням детализации, поддерживаемым компонентами семейства FAU_GEN
"Генерация данных аудита безопасности". Например, запись аудита какого-либо механизма
безопасности может включать на разных уровнях детализации действия, которые раскрываются в
следующих терминах.
- "Минимальный": успешное использование механизма безопасности.
- "Базовый": любое использование механизма безопасности, а также информация о текущих
значениях атрибутов безопасности.
- "Детализированный": любые изменения конфигурации механизма безопасности, включая
параметры конфигурации до и после изменения.
Следует учесть, что категорирование событий, потенциально подвергаемых аудиту, всегда иерархично.
Например, если выбрана базовая генерация данных аудита, то все события, идентифицированные
как потенциально подвергаемые аудиту и поэтому входящие как в минимальную, так и в базовую
запись, следует включить в ПЗ/ЗБ с помощью соответствующей операции назначения, за
исключением того случая, когда событие более высокого уровня имеет более высокий уровень
детализации, чем событие более низкого уровня, и может просто заменить его. Когда желательна
детализированная генерация данных аудита, все идентифицированные события, потенциально
подвергаемые аудиту (для минимального, базового и детализированного уровня), следует включить
в ПЗ/ЗБ.
Правила управления аудитом более подробно объяснены в классе FAU.
Структура компонента
Рисунок 2.3 иллюстрирует структуру функционального компонента
Рисунок 2.3 – Структура функционального компонента
Компонент
Идентификация
63
Функциональные
Идентификация компонента: Идентификация компонента включает описательную информацию,
необходимую для идентификации, категорирования, записи и реализации перекрестных ссылок
компонента. Для каждого функционального компонента представляется следующее.
Уникальное имя. Имя отражает предназначение компонента.
Краткое имя. Уникальная краткая форма имени функционального компонента. Это краткое имя служит
как основное имя ссылки для категорирования, записи и реализации перекрестных ссылок
компонента. Оно отражает класс и семейство, которым компонент принадлежит, а также номер
компонента в семействе.
Список иерархических связей. Список других компонентов, для которых этот компонент иерархичен, и
вместо которых он может использоваться при удовлетворении зависимостей от перечисленных
компонентов.
Функциональные элементы: Каждый компонент включает набор элементов. Каждый элемент
определяется отдельно и является самодостаточным.
Функциональный элемент – это функциональное требование безопасности, дальнейшее разделение
которого не меняет значимо результат оценки. Он является наименьшим функциональным
требованием безопасности, идентифицируемым и признаваемым в настоящем стандарте.
При формировании ПЗ, ЗБ и/или пакетов не разрешается выбирать только часть элементов компонента.
Для включения в ПЗ, ЗБ или пакет необходимо выбирать всю совокупность элементов компонента.
Вводится уникальная краткая форма имени функционального элемента. Например, имя FDP_IFF.4.2
читается следующим образом: F – функциональное требование, DP – класс "Защита данных
пользователя", _IFF – семейство "Функции управления информационными потоками", .4 – 4-ый
компонент "Частичное устранение неразрешенных информационных потоков", .2 – 2-ой элемент
компонента.
Зависимости: Зависимости среди функциональных компонентов возникают, когда компонент не
самодостаточен и нуждается либо в функциональных возможностях другого компонента, либо во
взаимодействии с ним для поддержки собственного выполнения.
Каждый функциональный компонент содержит полный список зависимостей от других
функциональных компонентов и компонентов доверия. Некоторые компоненты могут иметь список
"Нет зависимостей". Компоненты из списка, могут, в свою очередь, иметь зависимости от других
компонентов. Список, приведенный в компоненте, показывает прямые зависимости, т.е. содержит
ссылки только на те функциональные компоненты, которые заведомо необходимы для обеспечения
выполнения рассматриваемого компонента. Косвенные зависимости, определяемые собственными
зависимостями компонентов из списка, прослежены в приложении А к этой части стандарта.
Отметим, что в некоторых случаях зависимость выбирается из нескольких предлагаемых
функциональных компонентов, причем каждый из них достаточен для удовлетворения зависимости
(см., например, FDP_UIT.1).
Список зависимостей идентифицирует минимум функциональных компонентов или компонентов
доверия, необходимых для удовлетворения требований безопасности, ассоциированных с данным
компонентом. Компоненты, которые иерархичны по отношению к компоненту из списка, также
могут быть использованы для удовлетворения зависимости.
Зависимости между компонентами, указанные в этой части стандарта, обязательны. Их необходимо
удовлетворить в ПЗ/ЗБ. В некоторых особых ситуациях эти зависимости удовлетворить
невозможно. Тогда разработчик ПЗ/ЗБ, обязательно обосновав, почему данная зависимость
неприменима, может не включать соответствующий компонент в пакет, ПЗ или ЗБ.
Разрешенные операции с функциональными компонентами
При определении требований в ПЗ, ЗБ или функциональном пакете функциональные компоненты могут
либо использоваться полностью в соответствии с разделами 3-13 этой части стандарта, либо быть
дополнительно конкретизированы для достижения специфической цели безопасности. Однако
отбор и конкретизация этих функциональных компонентов усложнены тем обстоятельством, что
необходимо учитывать имеющиеся зависимости данного компонента. Поэтому такая конкретизация
строго ограничена принятым набором операций.
К каждому функциональному компоненту могут быть применены разрешенные операции. Не все
операции разрешены на всех функциональных компонентах.
Разрешенные операции выбираются из следующего набора:
– итерация: позволяет несколько раз использовать компонент с различным выполнением операций;
– назначение: позволяет специфицировать заданный параметр;
64
– выбор: позволяет специфицировать один или несколько элементов из списка;
– уточнение: позволяет добавить детали.
Итерация: Там, где необходимо охватить различные аспекты одного и того же требования (например,
идентифицировать несколько типов пользователей), разрешается повторное использование одного
и того же компонента из этой части стандарта, позволяющее охватить каждый аспект.
Назначение: Некоторые элементы функциональных компонентов содержат параметры или
переменные, которые дают возможность разработчику ПЗ/ЗБ специфицировать политику или
совокупность величин для включения в ПЗ/ЗБ, чтобы выполнить специфическую цель
безопасности. Эти элементы однозначно идентифицируют каждый такой параметр и ограничения
на значения, которые может принимать этот параметр.
Любой аспект элемента, допустимые значения которого могут быть однозначно описаны или
перечислены, может быть представлен параметром. Параметр может быть атрибутом или правилом,
которое сводит требование к определенному значению или диапазону значений. Например, элемент
функционального компонента, направленный на достижение определенной цели безопасности,
может установить, что некоторую операцию следует выполнять неоднократно. В этом случае
назначение установит число возможных повторений (или диапазон для него), которое будет
использоваться для данного параметра.
Выбор: Это – операция выбора одного или нескольких элементов из списка, позволяющая ограничить
область применения элемента компонента.
Уточнение: Для всех элементов функционального компонента разработчику ПЗ/ЗБ разрешается
ограничить множество допустимых реализаций путем определения дополнительных деталей для
достижения целей безопасности. Уточнение элемента заключается в добавлении этих
специфических деталей.
Например, если для конкретного ОО требуется объяснение смысла терминов "субъект" и "объект" в
рамках ЗБ, то эти термины подвергаются операции уточнения.
Подобно другим операциям, уточнение не налагает совершенно новые требования. Исходя из целей
безопасности, уточнение предполагает проработку деталей, интерпретацию или развитие
требований, правил, значений или условий. Уточнение должно лишь ограничивать совокупность
возможных функций или механизмов для реализации требования, но никогда не расширять ее.
Уточнение не позволяет создать новые требования и поэтому не увеличивает список зависимостей,
связанных с компонентом. Разработчику ПЗ/ЗБ необходимо быть внимательным, чтобы
существующие зависимости прочих требований от уточняемого требования были по-прежнему
удовлетворены.
«Процессный подход»
65
66
67
68
69
41. Парадигма функциональных требований (ГОСТ 15408). Виды объектов оценки
и политик безопасности. Функции безопасности: стойкость, область действия,
интерфейс, типы ПФБ. ФБО единого, локального и распределенного ОО. Виды
пользователей. Роли. Ресурсы. Сущности: активные и пассивные. Атрибуты
безопасности. Данные ОО: пользователя и ФБО. Аутентификационные данные и
секреты.
70
состоять из механизма проверки правомочности обращений и/или других функций
безопасности, необходимых для эксплуатации ОО.
ОО может быть единым продуктом, включающим аппаратные, программно-
аппаратные и программные средства.
Напротив, ОО может быть распределенным продуктом, который состоит из
нескольких разделенных частей. Каждая из этих частей ОО обеспечивает выполнение
конкретного сервиса для ОО и связана с другими частями ОО через внутренний канал
связи. Этот канал может быть всего лишь шиной процессора, а может являться сетью,
внутренней для ОО.
Если ОО состоит из нескольких частей, то каждая его часть может иметь
собственное подмножество ФБО, которое обменивается данными ФБО и пользователей
через внутренние каналы связи с другими подмножествами ФБО. Это взаимодействие
названо внутренней передачей ОО. В этом случае отдельные части ФБО совместно
формируют объединенные ФБО, которые осуществляют ПБО для этого ОО.
Интерфейсы ОО могут быть локализованы в конкретном ОО или же могут
допускать взаимодействие с другими продуктами ИТ по внешним каналам связи.
Внешние взаимодействия с другими продуктами ИТ могут принимать две формы.
а) Политика безопасности "удаленного доверенного продукта ИТ" и ПБО
рассматриваемого ОО скоординированы и оценены в административном порядке. Обмен
информацией в этом случае назван передачей между ФБО, поскольку он
осуществляется между ФБО заведомо доверенных продуктов.
б) Удаленный продукт ИТ, обозначенный на рисунке 1.2 как "недоверенный
продукт ИТ", может не быть оценен, вследствие чего его политика безопасности
неизвестна. Обмен информацией в этом случае назван передачей за пределы области
действия ФБО, так как этот удаленный продукт ИТ не имеет ФБО (или характеристики
его политики безопасности неизвестны).
Совокупность взаимодействий, которые могут происходить с ОО или в пределах
ОО и подчинены правилам ПБО, относится к области действия функций безопасности
(ОДФ). ОДФ включает определенную совокупность взаимодействий между субъектами,
объектами и операциями в пределах ОО, но не предполагает охвата всех ресурсов ОО.
Совокупность интерфейсов, как интерактивных (человеко-машинный интерфейс),
так и программных (интерфейс программных приложений), через которые могут быть
получены доступ к ресурсам при посредничестве ФБО или информация от ФБО,
называется интерфейсом ФБО (ИФБО). ИФБО определяет границы возможностей
функций ОО, которые предоставлены для осуществления ПБО.
Пользователи не включаются в состав ОО; поэтому они находятся вне ОДФ.
Однако пользователи взаимодействуют с ОО через ИФБО при запросе услуг, которые
будут выполняться ОО. Существует два типа пользователей, учитываемых в
функциональных требованиях безопасности этой части стандарта: люди-пользователи и
внешние объекты ИТ. Среди людей-пользователей далее различаются локальные люди-
пользователи, взаимодействующие непосредственно с ОО через устройства ОО (такие,
как рабочие станции), и удаленные люди-пользователи, взаимодействующие с ОО через
другой продукт ИТ.
Период взаимодействия между пользователем и ФБО называется сеансом
пользователя. Открытие сеансов пользователей может контролироваться на основе ряда
условий, таких как аутентификация пользователя, время суток, метод доступа к ОО,
число параллельных сеансов, разрешенных пользователю, и т.д.
71
В этой части стандарта используется термин уполномоченный, чтобы обозначить
пользователя, который обладает правами и/или привилегиями, необходимыми для
выполнения операций. Поэтому термин уполномоченный пользователь указывает на то,
что пользователю разрешается выполнять данную операцию в соответствии с ПБО.
Для выражения требований разделения административных обязанностей
соответствующие функциональные компоненты безопасности (из семейства FMT_SMR),
приведенные в этой части стандарта, явно устанавливают обязательность
административных ролей. Роль – это заранее определенная совокупность правил,
устанавливающих допустимые взаимодействия между пользователем и ОО. ОО может
поддерживать определение произвольного числа ролей. Например, роли, связанные с
операциями безопасности ОО, могут включать роли "Администратор аудита" и
"Администратор учета пользователей".
ОО содержит ресурсы, которые могут использоваться для обработки и хранения
информации. Основной целью ФБО является полное и правильное осуществление ПБО
для ресурсов и информации, которыми управляет ОО.
Ресурсы ОО могут структурироваться и использоваться различными способами.
Тем не менее, в этой части стандарта проводится специальное разграничение,
позволяющее специфицировать желательные свойства безопасности. Все сущности,
которые могут быть созданы на основе ресурсов, характеризуются одним из двух
способов. Сущности могут быть активными, т.е. являться причиной действий, которые
происходят в пределах ОО, и инициировать операции, выполняемые с информацией.
Напротив, сущности могут быть пассивными, т.е. являться источником или местом
хранения информации.
Активные сущности названы субъектами. В пределах ОО могут существовать
несколько типов субъектов:
в) действующие от имени уполномоченного пользователя и подчиненные всем
правилам ПБО (например, процессы UNIX);
г) действующие как особый функциональный процесс, который может, в свою
очередь, действовать от имени многих пользователей (например, функции, которые
характерны для архитектуры клиент/сервер);
д) действующие как часть собственно ОО (например, доверенные процессы).
В этой части стандарта рассматривается осуществление ПБО для всех типов
субъектов, перечисленных выше.
Пассивные сущности (т.е. контейнеры информации) названы объектами в
функциональных требованиях безопасности этой части стандарта. Объекты являются
предметом операций, которые могут выполняться субъектами. В случае, когда субъект
(активная сущность) сам является предметом операции (например, при установлении
связи между процессами), над субъектом могут производиться действия, как над
объектом.
Объекты могут содержать информацию. Это понятие требуется, чтобы
специфицировать политики управления информационными потоками в соответствии с
классом FDP.
Пользователи, субъекты, информация и объекты обладают определенными
атрибутами, которые содержат информацию, позволяющую ОО функционировать
правильно. Некоторые атрибуты, такие как имена файлов, могут предназначаться только
для информирования (т.е. для повышения дружественности ОО пользователю), в то
время как другие, типа различных параметров управления доступом, могут существовать
исключительно для осуществления ПБО. Эти последние обобщенно названы
72
"атрибутами безопасности". В дальнейшем слово "атрибут" используется в этой
части стандарта как сокращение для словосочетания "атрибут безопасности", если иное
не оговорено. Вместе с тем, независимо от предназначения информации атрибута могут
потребоваться средства управления этим атрибутом в соответствии с ПБО.
Данные в ОО подразделяются на данные пользователя и данные ФБО. На рисунке
1.3 показана их взаимосвязь. Данные пользователя – это информация, содержащаяся в
ресурсах ОО, которая может использоваться пользователями в соответствии с ПБО и не
предназначена специально для ФБО. Например, содержание сообщения электронной
почты является данными пользователя. Данные ФБО – это информация, используемая
ФБО при осуществлении ПБО. Допустимо воздействие пользователей на данные ФБО,
если это предусмотрено ПБО. Примерами данных ФБО являются атрибуты
безопасности, аутентификационные данные, списки управления доступом.
Имеются отдельные ПФБ, такие как ПФБ управления доступом и ПФБ
управления информационными потоками, которые применяются при защите данных.
Действия механизмов, реализующих ПФБ управления доступом, основаны на атрибутах
субъектов, объектов и операций в пределах области действия. Эти атрибуты
используются в совокупности правил, управляющих операциями, которые субъектам
разрешено выполнять на объектах.
Функционирование механизмов, реализующих ПФБ управления
информационными потоками, основано на атрибутах субъектов и информации в
пределах области действия и совокупности правил, по которым выполняются операции
субъектов на информации. Атрибуты информации, которые могут быть ассоциированы с
атрибутами места хранения (или не ассоциированы с ними, как в случае многоуровневой
базы данных) остаются с информацией при ее перемещении.
Два специфических типа данных ФБО, рассматриваемых в этой части стандарта,
могут, хотя и необязательно, совпадать. Это аутентификационные данные и секреты.
Аутентификационные данные используются, чтобы верифицировать заявленный
идентификатор пользователя, обращающегося к ОО за услугами. Самая
распространенная форма аутентификационных данных – пароль, который необходимо
хранить в секрете, чтобы механизм безопасности был эффективен. Однако не все формы
аутентификационных данных необходимо хранить в секрете. Биометрические
опознавательные устройства (такие как считыватели отпечатка пальца или сканеры
сетчатки глаза) полагаются не на предположение, что аутентификационные данные
хранятся в секрете, а на то, что данные являются неотъемлемым свойством пользователя,
которое невозможно подделать.
Термин "секрет", используемый в функциональных требованиях этой части
стандарта по отношению к аутентификационным данным, применим и к другим типам
данных, которые необходимо хранить в тайне при осуществлении определенной ПФБ.
Например, стойкость механизма доверенного канала, в котором применена криптография
для сохранения конфиденциальности передаваемой через канал информации, зависит от
надежности способа сохранения в секрете криптографических ключей от
несанкционированного раскрытия.
Следовательно, некоторые, но не все аутентификационные данные необходимо
хранить в секрете и некоторые, но не все секреты используются как
аутентификационные данные. Рисунок 1.4 показывает эту взаимосвязь секретов и
аутентификационных данных. На этом рисунке указаны типы данных, которые часто
относятся к аутентификационным данным и секретам.
73
42. Оценка информационной безопасности предприятия. Основные аспекты
стандартизации систем и процессов управления информационной безопасностью
(ГОСТ 27001, СоbiT, NIST).
74
Рисунок 4 — Роли процесса оценки ИБ и их функции
Важным аспектом при определении контекста оценки является вид оценки:
независимая или самооценка. В зависимости от вида оценки различается отношение
ролей процесса оценки и объекта оценки.
Независимая оценка достигается путем проведения оценки группой оценки,
члены которой независимы от объекта оценки. Организатор оценки может относиться к
той же организации, к которой относится объект оценки, но не обязательно к
оцениваемому объекту оценки. Степень независимости может варьироваться в
соответствии с целью и областью оценки. В случае внешнего организатора оценки
предполагается наличие взаимного соглашения между организатором оценки и
организацией, к которой относится объект оценки. Представитель объекта оценки
принимает участие в формировании свидетельств оценки, обеспечивает взаимодействие
группы оценки с владельцами активов. Их участие в проведении оценки дает
возможность определить и учесть особенности объекта оценки, обеспечить
достоверность результатов оценки.
Самооценка выполняется организацией с целью оценки собственной СОИБ.
Организатор самооценки обычно входит в состав объекта оценки, как и члены группы
оценки.
75
Область оценки может включать, например, один или несколько процессов
объекта оценки, например, организатор может сосредоточить внимание на одном или
нескольких критических процессах и/или защитных мерах. Выбор объекта оценки
должен отражать намеченное использование организатором выходных данных оценки.
Например, если выходные данные предназначены для использования при
совершенствовании деятельности по обеспечению ИБ, то область оценки должна
соответствовать области намеченных работ по совершенствованию. Область оценки
может быть любой: от отдельного процесса до всей организации. В контексте оценки
должно быть представлено подробное описание объекта оценки, включающее размеры
объекта оценки, область применения продуктов или услуг объекта оценки, основные
характеристики (например, объем, критичность, сложность и качество) продуктов или
услуг объекта оценки.
К ограничениям оценки можно отнести возможную недоступность основных
активов, используемых в обычной деловой деятельности организации; недостаточный
временной интервал, выделенный для проведения оценивания; необходимость
исключения определенных частей объекта оценки из-за стадии жизненного цикла. Кроме
того, могут быть наложены ограничения на количество и вид данных, которые должны
быть собраны и изучены.
Содержание контекста оценки должно быть согласовано руководителем группы
оценки с организатором и уполномоченным представителем объекта оценки и
задокументировано до начала процесса оценки. Фиксирование контекста оценки важно,
так как он содержит исходные элементы процесса оценки.
Во время выполнения оценки могут происходить изменения в контексте
оценки. Изменения должны быть одобрены организатором оценки и уполномоченным
представителем объекта оценки. Если эти изменения оказывают влияние на временной
график и ресурсы проведения оценки, то планирование оценки должно быть
соответствующим образом пересмотрено.
76
Класс FCS состоит из двух семейств: FCS_CKM "Управление криптографическими ключами" и
FCS_COP "Криптографические операции". В семействе FCS_CKM рассматриваются аспекты
управления криптографическими ключами, тогда как в семействе FCS_COP рассматривается
практическое применение этих криптографических ключей.
4) Класс FDP: Защита данных пользователя
Этот класс содержит семейства, определяющие требования к функциям безопасности ОО и политикам
функций безопасности ОО, связанным с защитой данных пользователя. FDP разбит на четыре группы
семейств, перечисленные ниже, которые применяются к данным пользователя в пределах ОО во время
их импорта, экспорта и хранения, а также к атрибутам безопасности, которые прямо связаны с данными
пользователя.
5) Класс FIA: Идентификация и аутентификация
Семейства в этом классе содержат требования к функциям установления и верификации заявленного
идентификатора пользователя.
Идентификация и аутентификация требуются для обеспечения ассоциации пользователей с
соответствующими атрибутами безопасности (такими, как идентификатор, группы, роли, уровни
безопасности или целостности).
Однозначная идентификация уполномоченных пользователей и правильная ассоциация атрибутов
безопасности с пользователями и субъектами необходимы для осуществления принятых политик
безопасности. Семейства этого класса связаны с определением и верификацией идентификаторов
пользователей, определением их полномочий на взаимодействие с ОО, а также с правильной
ассоциацией атрибутов безопасности с каждым уполномоченным пользователем. Эффективность
требований других классов (таких, как "Защита данных пользователя", "Аудит безопасности") во
многом зависит от правильно проведенных идентификации и аутентификации пользователей.
6) Класс FMT: Управление безопасностью
Этот класс предназначен для спецификации управления некоторыми аспектами ФБО: атрибутами
безопасности, данными и отдельными функциями. Могут быть установлены различные роли
управления, а также определено их взаимодействие, например, распределение обязанностей.
Класс позволяет решать следующие задачи:
а) Управление данными ФБО, которые включают, например, предупреждающие сообщения.
б) Управление атрибутами безопасности, которые включают, например, списки управления
доступом и перечни возможностей.
в) Управление функциями из числа ФБО, которое включает, например, выбор функций, а также
правил или условий, влияющих на режим выполнения ФБО.
г) Определение ролей безопасности.
7) Класс FPR: Приватность
Этот класс содержит требования приватности. Эти требования предоставляют пользователю защиту от
раскрытия его идентификатора и злоупотребления этим другими пользователями.
8) Класс FPT: Защита ФБО
Этот класс содержит семейства функциональных требований, которые связаны с целостностью и
управлением механизмами, реализованными в ФБО, не завися при этом от особенностей ПБО, а также к
целостности данных ФБО, не завися от специфического содержания данных ПБО. В некотором смысле,
семейства этого класса дублируют компоненты из класса FDP "Защита данных пользователя"; они
могут даже использовать одни и те же механизмы. Однако класс FDP специализирован на защите
данных пользователя, в то время как класс FPT нацелен на защиту данных ФБО. Фактически,
компоненты из класса FPT необходимы для обеспечения требований невозможности нарушения и
обхода политик ФБ данного ОО.
9) Класс FRU: Использование ресурсов
Этот класс содержит три семейства, которые поддерживают доступность требуемых ресурсов, таких как
вычислительные возможности и/или объем памяти. Семейство "Отказоустойчивость" предоставляет
защиту от недоступности ресурсов, вызванной сбоем ОО. Семейство "Приоритет обслуживания"
обеспечивает, чтобы ресурсы выделялись наиболее важным или критичным по времени задачам и не
могли быть монополизированы задачами с более низким приоритетом. Семейство "Распределение
ресурсов" устанавливает ограничения использования доступных ресурсов, предотвращая
монополизацию ресурсов пользователями
10) Класс FTA: Доступ к ОО
Этот класс определяет функциональные требования к управлению открытием сеанса пользователя.
77
11) Класс FTP: Доверенный маршрут/канал
Семейства этого класса предоставляют требования как к доверенному маршруту связи между
пользователями и ФБО, так и к доверенному каналу связи между ФБО и другими доверенными
продуктами ИТ. Доверенные маршруты и каналы имеют следующие общие свойства:
– маршрут связи создается с использованием внутренних и внешних каналов коммуникаций (в
соответствии с компонентом), которые изолируют идентифицированное подмножество данных и
команд ФБО от остальной части данных пользователей и ФБО;
– использование маршрута связи может быть инициировано пользователем и/или ФБО (в
соответствии с компонентом);
– маршрут связи способен обеспечить доверие тому, что пользователь взаимодействует с
требуемым ФБО или ФБО – с требуемым пользователем (в соответствии с компонентом).
Здесь доверенный канал – это канал связи, который может быть инициирован любой из связывающихся
сторон и обеспечивает неотказуемые характеристики, связанные с идентификаторами сторон канала.
Доверенный маршрут предоставляет пользователям средства для выполнения функций путем
обеспечения прямого взаимодействия с ФБО. Доверенный маршрут обычно желателен при начальной
идентификации и/или аутентификации пользователя, но может быть также желателен и в другие
моменты сеанса пользователя. Обмены по доверенному маршруту могут быть инициированы
пользователем или ФБО. Гарантируется, что ответы пользователя с использованием доверенного
маршрута будут защищены от модификации или раскрытия недоверенными приложениями.
Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие),
процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.
Угрозой интересам субъектов информационных отношений будем называть потенциально
возможное событие, процесс или явление, которое посредством воздействия на информацию или
другие компоненты АС может прямо или косвенно привести к нанесению ущерба интересам
данных субъектов.
В силу особенностей современных АС, перечисленных выше, существует значительное число
различных видов угроз безопасности субъектов информационных отношений.
Нарушением безопасности (или просто нарушением) будем называть реализацию угрозы безопасности.
В настоящей работе предпринята попытка возможно более полного охвата угроз безопасности
субъектов информационных отношений. Однако следует иметь в виду, что научно-технический
прогресс может привести к появлению принципиально новых видов угроз и что изощренный ум
злоумышленника способен придумать новые способы преодоления систем безопасности, НСД к
данным и дезорганизации работы АС.
78
Источники угроз по отношению к АС могут быть внешними или внутренними (компоненты самой АС -
ее аппаратура, программы, персонал).
79
7) перехват побочных электромагнитных, акустических и других излучений устройств и линий связи, а
также наводок активных излучений на вспомогательные технические средства, непосредственно не
участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);
8) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов
обмена, правил вхождения в связь и авторизации пользователя и последующих попыток их
имитации для проникновения в систему;
9) хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих
устройств и целых ПЭВМ);
10) несанкционированное копирование носителей информации;
11) хищение производственных отходов (распечаток, записей, списанных носителей информации и
т.п.);
12) чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
13) чтение информации из областей оперативной памяти, используемых операционной системой (в том
числе подсистемой защиты) или другими пользователями, в асинхронном режиме используя
недостатки мультизадачных операционных систем и систем программирования;
14) незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем,
используя халатность пользователей, путем подбора, путем имитации интерфейса системы и т.д.) с
последующей маскировкой под зарегистрированного пользователя ("маскарад");
15) несанкционированное использование терминалов пользователей, имеющих уникальные физические
характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи,
аппаратный блок кодирования и т.п.;
16) вскрытие шифров криптозащиты информации;
17) внедрение аппаратных спецвложений, программных "закладок" и "вирусов" ("троянских коней" и
"жучков"), то есть таких участков программ, которые не нужны для осуществления заявленных
функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять
доступ к системным ресурсам с целью регистрации и передачи критической информации или
дезорганизации функционирования системы;
18) незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в
действиях законного пользователя от его имени с последующим вводом ложных сообщений или
модификацией передаваемых сообщений;
19) незаконное подключение к линиям связи с целью прямой подмены законного пользователя путем
его физического отключения после входа в систему и успешной аутентификации с последующим
вводом дезинформации и навязыванием ложных сообщений.
Следует заметить, что чаще всего для достижения поставленной цели злоумышленник использует не
один, а некоторую совокупность из перечисленных выше путей.
82
Основные принципы состоят в том, что необходимо чётко формулировать угрозы
безопасности и положения политики безопасности на предприятии, а достаточность
предложенных мер должна быть продемонстрирована.
Значимость уязвимостей. Гост 15408 предполагает, что существуют нарушители,
которые будут пытаться нарушить политику безопасности, для собственной выгоды.
В связи с этим, ГОСТ 15408 предлагает предпринять ряд превентивных шагов:
А) Предпринять активные действия для выявления, а затем удаления и нейтрализации
всех уязвимостей, которые могут появиться
Б) Снизить возможный ущерб в случае появления уязвимостей
В) Отследить попытки использования оставшихся уязвимостей злоумышленниками.
Причины возникновения уязвимостей.
Уязвимости возникают из-за недостатков:
А) Требований, т.е. продукт или ИТ система могут обладать требуемыми от них
функциями, но могут содержать уязвимости, делающие их непригодными к
использованию.
Б) Проектирования, т.е. продукт или ИТ система не отвечают спецификации или
уязвимости являются следствием некачественных проектных решения
В) Эксплуатации, т.е. ИТ продукт или система, разработаны в полном соответствии с
корректными спецификациями, но уязвимости возникают в результате неадекватного
управления.
Доверие в 15408.
Доверие – основа уверенности в том, что ИТ продукт или система отвечают целям
безопасности. В ГОСТ 15408 доверие обеспечивается активным исследованием, т.е.
процессом, когда оцениваются свойства продукта или системы ИТ для определения
его свойств безопасности.
Роль оценки.
Оценка – способ достижения доверия к ИТ продукту или системе, который проверяется
в соответствии с ГОСТ 15408. Методы оценки включают в себя:
а) анализ и проверку процессов и процедур:
b) проверку того, что процессы и процедуры действительно применяются;
c) анализ соответствия между представлениями проекта ОО;
d) анализ соответствия каждого представления проекта ОО требованиям:
e) верификацию доказательств;
f) анализ руководств:
g) анализ разработанных функциональных тестов и полученный результатов:
h) независимое функциональное тестирование,
i) анализ уязвимостей. включающий в себя предположения о недостатках;
j) тестирование проникновения.
Структура компонента
доверия:
85
48. Причины, виды и каналы утечки информации. ГОСТ Р 50922-96.
Характеристика видов утечки информации: разглашение информации,
несанкционированный доступ, получение защищаемой информации разведками.
Характеристика каналов утечки информации: электромагнитный, акустический
(виброакустический), визуальный и информационный.
89
Анализ уязвимостей заключается в идентификации недостатков, которые могли быть внесены на
различных этапах разработки. В результате определяются тесты проникновения, позволяющие
получить всю совокупность необходимой информации относительно:
1) полноты ФБО (противостоят ли ФБО всем ожидаемым угрозам)
2) зависимостей между всеми функциями безопасности.
Потенциальные уязвимости оценивают посредством тестирования проникновения, позволяющего
сделать заключение, могут ли они в действительности быть использованы для нарушения
безопасности ОО.
91
Политика информационной безопасности организации -совокупность руководящих
принципов, правил, процедур и практических приёмов в области безопасности, которые
регулируют управление, защиту и распределение ценной информации.
92
52. Порядок проведения аттестации объектов информатизации по требованиям
безопасности информации.
АТТЕСТАЦИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ (ОИ) – комплекс
организационно-технических мероприятий, в результате которых посредством
специального документа – «Аттестата соответствия» – подтверждается, что объект
соответствует требованиям стандартов или иных нормативно-технических документов
по безопасности информации.
ЭТАПЫ:
1. Подача заявления на аттестацию в орган по аттестации или в организацию – лицензиат
ФСТЭК России.
2. Рассмотрение заявки.
3. Предварительное ознакомление с объектом информатизации.
4. Разработка программ и методики аттестационных испытаний.
5. Заявителем пишется согласие ПиМ
6. Проведение аттестационных испытаний
7. Разработка отчетной документации
8. Оформление, выдача, регистрация аттестата соответствия.
94
Выявление инцидентов (одного события или группы событий), которые могут привести к сбоям
или нарушению функционирования информационной системы и (или) к возникновению угроз
безопасности персональных данных (далее - инциденты), и реагирование на них;
Управление конфигурацией информационной системы и системы защиты персональных
данных.
О, а ща будет невъебически огромная таблица, ток вы не пугайтесь :)
4 3 2 1
95
Назначение минимально необходимых прав и привилегий пользователям,
УПД.5 администраторам и лицам, обеспечивающим функционирование + + + +
информационной системы
96
IV. Защита машинных носителей персональных данных (ЗНИ)
97
СОВ.2 Обновление базы решающих правил + +
XIII. Защита информационной системы, ее средств, систем связи и передачи данных (3ИС)
101
Управление изменениями конфигурации информационной системы и
УКФ.2 + + +
системы защиты персональных данных
УЗ 2 К1 К2 К2
УЗ 3 К2 К3 К3
УЗ 4 К3 К3 К4
102
Анализ защищенности;
Обеспечение целостности информационной системы и информации;
Обеспечение доступности информации.
Состав мер защиты информации и их базовые наборы для соответствующего класса защищенности ГИС
приведен в таблице (на прмере меры по идентификации и аутентификации).
Классы защищенности
Меры защиты информации в ГИС
ГИС
3 2 1
Идентификация и аутентификация субъектов доступа и объектов доступа (ИАФ)
ИАФ. идентификация и аутентификация пользователей,
+ + +
1 являющихся работниками оператора;
ИАФ. идентификация и аутентификация устройств (в том числе
+ +
2 стационарных, мобильных и портативных);
ИАФ. управление идентификаторами, в том числе создание,
+ + +
3 присвоение, уничтожение идентификаторов;
управление средствами аутентификации, в том числе
ИАФ. хранение, выдача, инициализация, блокирование средств АУ
+ + +
4 и принятие мер в случае утраты (компрометации) средств
АУ;
ИАФ. защита обратной связи при вводе аутентификационной
+ + +
5 информации;
ИАФ. идентификация и аутентификация внешних пользователей
+ + +
6 (не являющихся работниками оператора).
1) социальной значимости;
2) политической значимости;
3) экономической значимости;
4) экологической значимости;
104