скачать книгу бесплатно
– невеликi розмiри.
Це означае, що диспетчер доступу мае бути завжди активним i повинен контролювати всi запити на доступ до будь-якого захищеного об'екта, який пiддаеться впливу. Диспетчер доступу мае бути захищений вiд модифiкацii, що для програмноi реалiзацii звичайно вважаеться iзоляцiею домену КЗЗ вiд доменiв iнших процесiв.
Диспетчер доступу не повинен складати весь КЗЗ, а повинен включати мiнiмально необхiдний набiр механiзмiв, що безпосередньо реалiзують перевiрку легальностi запитiв на доступ i, можливо, реестрацiю цих запитiв.
Головна мета диспетчера доступу – забезпечення единоi точки проходження всiх запитiв всерединi ІТС. Це гарантiя того, що потоки iнформацii мiж користувачами, процесами i об'ектами вiдповiдають вимогам полiтики безпеки.
Класичний погляд на диспетчер доступу полягае в тому, що вiн служить бар'ером мiж користувачем i об'ектом, до якого вiн хоче одержати доступ. Диспетчер доступу дозволяе або забороняе доступ вiдповiдно до того, чи е запит авторизованим. Рiшення приймаеться на пiдставi перевiрки атрибутiв доступу користувача, процесу i об'екта.
Узагальненням концепцii диспетчера доступу е iдея герметизацii, коли кожний об'ект як би герметизовано диспетчером доступу, що утворюе навкруги нього непрониклу оболонку. Кiлькiсть захищених (що знаходяться всерединi оболонки) об'ектiв може змiнюватись вiд одного об'екта до всiх об'ектiв системи.
Диспетчер доступу повинен забезпечити неможливiсть доступу до об'екта в обхiд механiзмiв захисту, перевiрку наявностi у користувача i/або процесу прав доступу до об'екта i реестрацii подiй, що вiдбуваються.
6. Реестрацiя дiй користувачiв
Коли користувач працюе з ІТС, то система розглядае його не як фiзичну особу, а як об'ект, якому притаманнi певнi атрибути i поводження. КЗЗ повинен забезпечувати реестрацiю дiй користувачiв щодо використання ресурсiв системи, а також iнших дiй i подiй, якi так або iнакше можуть вплинути на дотримання реалiзованоi ІТС полiтики безпеки.
Система повинна надавати користувачам, що мають адмiнiстративнi повноваження, можливiсть проглядати та аналiзувати данi реестрацii, що представляються у виглядi журналiв реестрацii, виявляти небезпечнi з точки зору полiтики безпеки подii, встановлювати iх причини i користувачiв, вiдповiдальних за порушення полiтики безпеки.
7. Послуги безпеки (функцii захищеностi)
З точки зору забезпечення безпеки iнформацii ІТС або КЗЗ можна розглядати як набiр функцiональних послуг безпеки. Кожна послуга безпеки являе собою набiр функцiй, що дозволяють протистояти деякiй множинi загроз.
Існуе певний перелiк послуг, якi на пiдставi практичного досвiду визнанi «корисними» для забезпечення безпеки iнформацii. Вимоги до реалiзацii даних послуг наведенi в НД ТЗІ 2.5-004-99 «Критерii оцiнки захищеностi iнформацii в КС вiд НСД».
Кожна послуга безпеки може включати декiлька рiвнiв. Чим вище рiвень послуги, тим бiльш повно забезпечуеться захист вiд певного виду загроз. Рiвнi послуг мають iерархiю за повнотою захисту, проте не обов'язково являють собою точну пiдмножину один одного. Рiвнi починаються з першого (1) i зростають до значення n, де n – унiкальне для кожного виду послуг.
Функцiональнi послуги розбитi на 4 групи, кожна з яких описуе вимоги до послуг, що забезпечують захист вiд загроз одного iз 4-х основних типiв: конфiденцiйнiсть (К), цiлiснiсть (Ц), доступнiсть (Д) i спостереженiсть (Н).
1. Послуги конфiденцiйностi реалiзують захист iнформацii вiд несанкцiонованого ознайомлення з нею (компрометацii). Конфiденцiйнiсть забезпечуеться такими послугами: довiрча конфiденцiйнiсть, адмiнiстративна конфiденцiйнiсть, повторне використання об'ектiв, аналiз прихованих каналiв, конфiденцiйнiсть при обмiнi. Принципи, що лежать в основi реалiзацii послуг, визначаються полiтикою конфiденцiйностi.
2. Послуги цiлiсностi реалiзують захист iнформацii вiд несанкцiонованоi модифiкацii (спотворення, руйнування). Цiлiснiсть забезпечуеться такими послугами: довiрча цiлiснiсть, адмiнiстративна цiлiснiсть, вiдкат, цiлiснiсть при обмiнi. Принципи, що лежать в основi реалiзацii послуг, визначаються полiтикою цiлiсностi.
3. Послуги доступностi реалiзують захист iнформацii вiд несанкцiонованого блокування доступу до неi. Також забезпечуе можливостi використання ІТС в цiлому та окремих функцiй та гарантуе спроможнiсть ІТС функцiонувати в разi вiдмови ii компонентiв. Доступнiсть забезпечуеться в ІТС такими послугами: використання ресурсiв, стiйкiсть до вiдмов, гаряча замiна, вiдновлення пiсля збоiв.
4. Послуги спостереженостi реалiзують захист ІТС вiд несанкцiонованого втручання в ii роботу (виводу з ладу). Також забезпечуе вiдповiдальнiсть користувача за своi дii та пiдтримуе спроможностi КЗЗ виконувати своi функцii. Спостереженiсть забезпечуеться в ІТС такими послугами: реестрацiя (аудит), iдентифiкацiя i автентифiкацiя, достовiрний канал, розподiл обов'язкiв, цiлiснiсть КЗЗ, самотестування, iдентифiкацiя i автентифiкацiя при обмiнi, автентифiкацiя вiдправника, автентифiкацiя отримувача.
Всi послуги е бiльш-менш незалежними. Якщо ж така залежнiсть виникае, тобто реалiзацiя якоi-небудь послуги неможлива без реалiзацii iншоi, то цей факт вiдбиваеться як необхiднi умови для даноi послуги (або ii рiвня). За винятком послуги «аналiз прихованих каналiв» залежнiсть мiж функцiональними послугами безпеки та гарантiями вiдсутня.
8. Гарантii реалiзацii послуг безпеки
Крiм функцiональних критерiiв, що дозволяють оцiнити наявнiсть послуг безпеки в ІТС, е також критерii гарантiй, якi дозволяють оцiнити коректнiсть реалiзацii послуг безпеки.
Критерii гарантiй мають сiм iерархiчних рiвнiв гарантiй. Iерархiя рiвнiв гарантiй вiдбивае поступово наростаючу мiру упевненостi в тому, що послуги, якi надаються, дозволяють протистояти певним загрозам, а механiзми, що iх реалiзують, в свою чергу, коректно реалiзованi, i можуть забезпечити очiкуваний споживачем рiвень захищеностi iнформацii пiд час експлуатацii ІТС.
Гарантii повиннi забезпечуватися як в процесi розробки КСЗІ, так i в процесi ii оцiнки. В процесi розробки гарантii забезпечуються дiями розробника щодо забезпечення правильностi (коректностi) розробки. В процесi оцiнки гарантii забезпечуються шляхом перевiрки додержання розробником вимог критерiiв, аналiзу документацii, процедур розробки i постачання.
Критерii гарантiй включають вимоги до архiтектури КЗЗ, середовища та послiдовностi його розробки, випробування КЗЗ, середовища його функцiонування та якостi документацii.
Для того, щоб ІТС одержала певний рiвень гарантiй реалiзацii необхiдних послуг безпеки (якщо вона не може одержати бiльш високий), повиннi бути задоволенi всi вимоги, визначенi для даного рiвня в кожному з роздiлiв вимог.
Класифiкацiя АС
В межах кожного класу АС класифiкуються на пiдставi вимог до забезпечення певних властивостей iнформацii. З точки зору безпеки iнформацiя характеризуеться трьома властивостями: конфiденцiйнiстю, цiлiснiстю та доступнiстю. Виходячи з цього, кожний клас АС (Х=1,2,3) подiляеться на пiдкласи, якi визначають пiдвищенi вимоги до забезпечення однiеi чи декiлька цих властивостей.
Таким чином, кiлькiсть сполучень з трьох властивостей зумовлюе наявнiсть семи груп пiдкласiв АС:
1) пiдклас Х.К – конфiденцiйностi iнформацii;
2) пiдклас Х.Ц – цiлiсностi iнформацii;
3) пiдклас Х.Д – доступностi iнформацii;
4) пiдклас Х. КЦ – конфiденцiйностi та цiлiсностi iнформацii;
5) пiдклас Х. КД – конфiденцiйностi та доступностi iнформацii;
6) пiдклас Х. ЦД – цiлiсностi та доступностi iнформацii.
7) пiдклас Х. КЦД – конфiденцiйностi, цiлiсностi та доступностi iнформацii.
Якщо врахувати наявнiсть в кожнiй групi трьох класiв АС, сумарна кiлькiсть пiдкласiв становить 21.
НД ТЗІ 2.5-005-99 «Класифiкацiя АС i стандартнi функцiональнi профiлi захищеностi оброблюваноi iнформацii вiд НСД» вводить таке поняття як «стандартний функцiональний профiль захищеностi» (далi – СФПЗ). Вiн являе собою перелiк мiнiмально необхiдних рiвнiв послуг, якi повинен реалiзовувати КЗЗ обчислювальноi системи АС, щоб задовольняти певнi вимоги щодо захищеностi iнформацii, яка обробляеться в данiй АС.
Для кожного з пiдкласiв кожного класу вводиться деяка кiлькiсть iерархiчних СФПЗ, яка може бути рiзною для кожного класу i пiдкласу АС. Профiлi е iерархiчними в тому розумiннi, що iх реалiзацiя забезпечуе наростаючу захищенiсть вiд загроз вiдповiдного типу (К, Ц i Д). Зростання ступеня захищеностi може досягатись як пiдсиленням певних послуг, тобто включенням до профiлю бiльш високого рiвня послуги, так i включенням до профiлю нових послуг.
Така класифiкацiя корисна для полегшення вибору перелiку функцiй, якi повинен реалiзовувати КЗЗ проектованоi або iснуючоi АС. Цей пiдхiд дозволяе мiнiмiзувати витрати на початкових етапах створення КСЗІ ІТС. Проте слiд визнати, що для створення КЗЗ, який найповнiше вiдповiдае характеристикам i вимогам до конкретноi АС, необхiдно проведення в повному обсязi аналiзу загроз i оцiнки ризикiв.
СФПЗ будуються на пiдставi iснуючих вимог щодо захисту певноi iнформацii вiд певних загроз i вiдомих на сьогоднiшнiй день функцiональних послуг, що дозволяють протистояти даним загрозам i забезпечувати виконання вимог, якi висуваються. Полiтика безпеки АС, що реалiзуе певний СФПЗ, мае бути «успадкована» з документiв, що встановлюють вимоги до порядку обробки певноi iнформацii в АС.
НД ТЗІ 2.5-005-99 визначае стандартний пiдхiд до визначення ФПЗ АС шляхом вибору з множини СФПЗ, який базуеться на таких припущеннях:
– усi АС можна вiднести до одного з трьох класiв за наступними ознаками: конфiгурацiя апаратних засобiв, iх фiзичне розмiщення, кiлькiсть категорiй оброблюваноi iнформацii, кiлькiсть користувачiв i категорiй користувачiв;
– у межах класу АС можна вiднести до одного з пiдкласiв, що визначенi за критерiем необхiдностi забезпечення К, Ц i Д;
– вимоги до безпеки АС рiзних класiв суттево вiдрiзняються, що дозволяе сформувати для iх пiдкласiв множини СФПЗ, що знаходяться у iерархiчнiй залежностi;
– для створення КЗЗ, який найповнiше вiдповiдае характеристикам i вимогам до конкретноi ІТС, необхiдно проведення в повному обсязi аналiзу загроз i оцiнки ризикiв.
Стандартний пiдхiд визначення ФПЗ вимагае таких етапiв:
1. Визначення пiдкласу АС.
2. Визначення призначення АС та вибiр пiдказки, яку треба використовувати у цьому випадку для вибору одного iз СФПЗ, використовуючи довiдковий додаток «А» з НД ТЗІ 2.5-005-99. Якщо призначення АС вiдрiзняеться вiд наведених у НД ТЗІ 2.5-005-99 необхiдно власноруч обрати пiдмножину СФПЗ вiдповiдно до пiдкласу АС.
3. Аналiз сутностi вимог, вiдiбраних СФПЗ.
4. Вибiр одного iз СФПЗ, який найбiльш вiдповiдае полiтицi безпеки.
5. У випадку, коли жоден iз СФПЗ не пiдходить повною мiрою, необхiдно змiнити рiвень послуги, що мiститься у СФПЗ, або додати нову послугу.
Така властивiсть як спостереженiсть не використовуеться для розбиття АС на пiдкласи. Цей факт пояснюеться тим, що послуги спостереженостi е необхiдною умовою для реалiзацii iнших послуг безпеки, а з iншого боку завжди важливi для АС.
Згiдно НД ТЗІ 2.5-005-99 кожний профiль мае свiй буквено-числовий iдентифiкатор, який включае:
– номер класу АС (1 – ПЕОМ, 2 – ЛОМ, 3 – РОМ),
– букви, що характеризуе види загроз, вiд яких забезпечуеться захист (К, Ц, Д),
– номер профiлю.
Всi частини iдентифiкатора вiддiляються один вiд одного крапкою.
Наприклад, СФПЗ АС класу «2» номер 1 з пiдвищеними вимогами до забезпечення конфiденцiйностi iнформацii виглядае таким чином
2.К.1 = {КД-2, НР-2, НИ-2, НК-1, НО-1, НЦ-1}
А СФПЗ АС класу «1» номер 2 з пiдвищеними вимогами до забезпечення конфiденцiйностi, цiлiсностi та доступностi iнформацii виглядае таким чином:
1.КЦД.2 = {КА-1, КО-1, ЦА-1, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1}
Версiя може служити, зокрема, для вказiвки на пiдсилення певноi послуги всерединi профiлю. Наприклад, нарощування можливостей реестрацii приведе до появи новоi версii. Тим не менше, при внесеннi деяких iстотних змiн, особливо додання нових послуг, може або привести до появи нового профiлю, або до того, що профiль буде вiдноситись до iншого пiдкласу АС.
Найбiльш складним профiлем е профiль КЦД, до якого включаеться 22 послуги, причому це взагалi максимально можлива для профiлiв кiлькiсть послуг. Але не завжди е необхiднiсть пiдтримувати вiдразу всi властивостi iнформацii, що захищаеться, – iнодi достатньо пiдтримувати лише деякi з них залежно вiд конкретноi мети та завдань захисту iнформацii, а також очiкуваних загроз iнформацii. Наприклад, у деяких випадках достатньо пiдтримувати властивiсть конфiденцiйностi, яка може реалiзуватися таким механiзмом, як криптографiя. Інодi, особливо в мережевих конфiгурацiях, найбiльш важливою може бути пiдтримка властивостi доступностi.
