Информационная безопасность / Eremenko - Sistemy zashchity informatsii 2016
.pdf
БД угроз и уязвимостей используется при формировании модели угроз и оценки уязвимостей. Информация в данной БД представлена в виде анкет табличного вида и отражает все этапы формирования модели угроз:
1)Описание информационной системы, в которой обрабатывается конфиденциальная информация (цели, способы, средства обработки информации).
2)Описание пользователей, работающих с конфиденциальной информацией.
4)Определение уровня исходной защищенности информации.
5)Определение вероятности реализации угроз.
БД типовых форм организационно-распорядительной докумен-
тации (ОРД). Для обеспечения требуемого уровня защиты информации на объекте должен быть разработан и утвержден комплект орга- низационно-распорядительной документации, регламентирующей защиту информации на объекте (рис. 34).
Оценка на соответствие уровня защищенности СВТ, установленного для 6-го класса защищенности
1. Контролируют ли КСЗ доступ наименованных субъектов (пользователи) |
Да |
Нет |
к наименованным объектам (файлы, программы, тома и т.д.) |
|
|
|
|
|
2. Задано ли для каждой пары (субъект-объект) в СВТ явное и недвусмыс- |
Да |
Нет |
ленное перечисление допустимых типов доступа (читать, писать и т.д.) |
|
|
3. Содержит ли КСЗ механизм, претворяющий в жизнь дискреционные |
Да |
Нет |
правила разграничения доступа |
|
|
4. Применим ли контроль доступа к каждому объекту и каждому субъекту |
Да |
Нет |
(индивиду или группе равноправных индивидов) |
|
|
5. Предусматривает ли механизм, реализующий дискреционный принцип |
|
|
контроля доступа, возможность санкционированного изменения ПРД, в том |
Да |
Нет |
числе возможность санкционированного изменения списка пользователей |
||
СВТ и списка защищаемых объектов |
|
|
6. Предоставляются ли права изменять ПРД выделенным субъектам (ад- |
Да |
Нет |
министрации, службе безопасности и т. д.) |
|
|
7. Требуют ли КСЗ от пользователей идентифицировать себя пи запросах |
|
|
на доступ. КСЗ должен подвергать проверке подлинность идентификации - |
Да |
Нет |
осуществлять аутентификацию |
|
|
8. Тестируются ли: |
|
|
- реализация дискреционных ПРД (перехват явных и скрытых запросов, |
|
|
правильное распознание санкционированных и несанкционированных запро- |
|
|
сов на доступ, средства защиты механизма разграничения доступа, санкцио- |
Да |
Нет |
нирования имения ПРД); |
|
|
- успешное осуществление идентификации и аутентификации, а также их |
|
|
средств защиты |
|
|
Рис. 34. Фрагмент анкеты, составленной на основе руководящего документа в области защиты информации
91
В БД типовых форм ОРД представлены необходимые типовые формы организационно-распорядительной документации, регламентирующие защиту информации на объекте. ОРД в рассматриваемой БД делится на три группы (рис. 35):
1.Организационные документы.
2.Распорядительные документы.
3.Справочно-информационные документы (СИД).
БД типовых форм ОРД
Организационные и распорядительные. БД ОРД
Справочно-информационные документы. БД СИД
Положения |
Федеральные |
|
документы |
||
|
|
|
|
|
|
Руководящие |
||
Регламенты |
|
|
|||||
|
|
|
документы |
||||
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Справочная |
|
|
|
Инструкции |
|||||
|
|
|
|
информация |
|||
|
|
|
|
|
|
||
|
|
|
|
||||
|
|
|
|
|
|
|
|
Рис. 35. Структура БД типовых форм ОРД
БД блока проектирования КСЗИ включает три базы данных: БД технических средств защиты информации, БД программных средств защиты информации и БД аппаратных средств защиты информации.
БД технических средств защиты информации. В этой базе дан-
ных приведены средства защиты информации от несанкционированного доступа (НСД) и защиты информации от утечки техническими каналами в структурированном виде:
1.Системы охранной и пожарной сигнализации.
2.Системы цифрового видеонаблюдения.
92
3.Системы контроля и управления доступом (СКУД).
4.Системы зашумления.
5.Системы экранирования помещений.
БД программных средств защиты информации. Здесь представ-
лены средства защиты данных, функционирующие в составе программного обеспечения:
1.Средства архивации данных.
2.Антивирусные программы.
3.Криптографические средства.
4.Средства идентификации и аутентификации пользователей.
5.Средства управления доступом.
6.Протоколирование и аудит.
7.Средства защиты баз данных.
8.Средства защиты информации при работе в компьютерных
сетях.
БД аппаратных средств защиты информации. В ней содержатся средства защиты информации и информационных систем, реализованных на аппаратном уровне, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации, обрабатываемой в автоматизированных системах:
1.Аппаратные межсетевые экраны.
2.Аппаратные средства контроля и управления доступом.
3.Аппаратные средства резервного хранения данных.
В состав блока оптимизации входит БД, содержащая критерии оптимизации, используемые при формировании целевой функции решения оптимизационной задачи. Информация представлена в виде реляционной модели.
Разработка лингвистического обеспечения САПР КСЗИ. Под
лингвистическим обеспечением САПР понимается совокупность язы-
ков, терминов и определений, необходимых для выполнения автоматизированного проектирования [29].
Одной из важнейших задач при создании лингвистического обеспечения САПР является выбор языков взаимодействия и форм общения проектировщика с ЭВМ. Именно необходимостью в специальных языках взаимодействия и целесообразного сочетания вычислитель-
93
ных процессов, осуществляемых машиной, и операций, производимых человеком, САПР отличаются от чисто вычислительных систем.
Языки взаимодействия – это особые средства, специально ориентированные на нужды проектировщика. Если языки программирования направлены, главным образом, на универсальность и удобство трансляции их в машинные языки, то языки взаимодействия предназначены для обеспечения наибольших удобств общения проектировщика с ЭВМ, осуществления проектных процедур, наиболее компактного представления проектной информации и т. д.
Успех применения САПР в значительной степени связан с выбором и реализацией данных языков взаимодействия.
Языки, используемые в САПР, можно разделить на три основные группы: входные, выходные, базовые [33]. Входные языки предназначены для описания проектируемых объектов и управления процедурами проектирования. Основным требованием, предъявляемым к входным языкам, является их максимальная близость к языку проектировщика в данной предметной области. Выходные языки ориентированы на вывод полученных в результате проектирования решений в виде необходимой проектной документации, удовлетворяющей требованиям изготовления объекта и стандартам.
Так же как и для входных языков, в САПР должна быть предусмотрена достаточно широкая номенклатура выходных языков для удовлетворения различных требований с точки зрения реализации проектируемых объектов и требований к различным формам представления документации, принятой в проектной организации.
Базовые языки – языки, на которых осуществляется программирование основных процедур проектирования.
ВСАПР КСЗИ используются все составляющие лингвистического обеспечения. Основа лингвистического обеспечения САПР – специальные языковые средства, называемые языками проектирования, предназначенные для описания процедур автоматизированного проектирования. Главная часть лингвистического обеспечения – языки общения человека с ЭВМ. Проблемно-ориентированные языки проектирования аналогичны алгоритмическим языкам программирования.
Водних случаях проблемно-ориентированные языки строят таким образом, что описание любой задачи состоит из оригинальных терминов физического и функционального содержания. Переход
94
от физического и функционального описания задачи к программам для ЭВМ реализуется автоматически с помощью транслятора. В других случаях, например при решении геометрических задач инженерного типа, проблемно-ориентированные языки соединяют в себе средства алгоритмического языка высокого уровня для решения вычислительных математических задач и специальные языковые средства моделирования геометрических объектов.
Средством разработки лингвистического обеспечения САПР КСЗИ является механизм формирования запросов в среде СУБД Ассess.
95
5.ВОЗМОЖНОСТИ САПР ДЛЯ ПРОЕКТИРОВАНИЯ КОМПЛЕКСНОЙ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРИМЕРЕ ВУЗА
5.1.Анализ объекта защиты на примере высшего учебного заведения
В настоящее время сформировалось устойчивое отношение к информации всех видов как к ценнейшему ресурсу. В первую очередь, это относится к тем направлениям государственной деятельности, которые являются наиболее важными в жизнеобеспечении общества, а именно: науке и образованию. Поэтому особое внимание должно уделяться проблемам формирования, использования и защиты информационных ресурсов на основе применения информационных и коммуникационных технологий в высших учебных заведениях.
Сегодня вуз является обладателем значительных информационных ресурсов разных видов и типов, выраженных в различных формах, влияющих на его деятельность. Значимость этих ресурсов чрезвычайно высока, и поэтому существует необходимость постоянно удерживать их в сохранности, т.е. возрастает потребность защиты этих ресурсов как от несанкционированного использования, так и от влияния других непредсказуемых факторов. Для обеспечения надежной защиты, нужно постоянно держать во внимании и анализировать всевозможные источники угроз, сопоставлять им уязвимости и определять потенциальные угрозы, реализация которых прямо или косвенно может нанести вред информационной системе (ИС) вуза.
Информационная система вуза (ИС вуза) является организацион- но-технической системой, в которой реализуются информационные технологии и предусматривается использование аппаратного, программного и других видов обеспечения, необходимого для реализации информационных процессов сбора, обработки, накопления, хранения, поиска и распространения информации. Основу современной ИС вуза составляют территориально распределенные компьютерные системы (вычислительные сети), элементы которых расположены в отдельно стоящих зданиях, на разных этажах этих зданий и связаны между собой транспортной средой, которая использует физические принципы. Базу аппаратных (технических) средств таких систем образуют ЭВМ (группы ЭВМ), периферийные, вспомогательные уст-
96
ройства и средства связи, сопрягаемые с ЭВМ. Состав программных средств определяется возможностями ЭВМ и характером решаемых задач в данной ИС [2].
Втакую систему включены следующие элементы:
–локальная сеть;
–каналы и средства связи (КС);
–узлы коммутации;
–рабочие места сотрудников ИС;
–учебные лаборатории;
–рабочее место удаленного пользователя;
–носители информации (магнитные, оптические и др.);
–отдельные ПК и рабочие станции;
–непосредственно пользователи (студенты);
Перечисленные элементы в процессе функционирования активно взаимодействуют между собой, что в свою очередь позволяет использовать различные точки доступа к информационным ресурсам. Это библиотека, компьютерные классы, интернет-залы, кафедральные
ифакультетские компьютерные сети и, наконец, система доступа студентов и преподавателей вуза с домашних компьютеров (удаленных компьютеров). Такое число точек доступа к информационным ресурсам в значительной степени обостряет проблему безопасности. Уровень защиты всей системы будет определяться степенью защиты уязвимых мест на конкретных точках доступа.
Информационные ресурсы любого вуза включают в себя документальные и информационные потоки для обеспечения учебного
инаучного процессов в вузе. К ним относятся рабочие планы специальностей, рабочие программы дисциплин, учебные графики, сведения о контингенте вуза, приказы и распоряжения ректора университета и деканов факультетов, электронный каталог библиотеки, электронные журналы и другие полнотекстовые базы данных, как создаваемые на месте, так и приобретаемые. Совокупность информационных ресурсов, наряду с высококвалифицированным персоналом, является одной из составляющих успешного функционирования вуза.
Все материалы, подготовленные вузом, связанные с обеспечением учебного процесса, считаются служебными и требуют особого обращения. Часть из них не подлежит разглашению, другие материалы требуют специального режима использования. Это подтверждает, что в вузе циркулирует информация различного уровня доступа и функ-
97
ционального наполнения. Эту информацию можно разделить на два основных типа с точки зрения регламентации распространения и использования: общедоступная информация и информация ограниченного распространения (рис. 36) [2].
Информация
открытая |
с ограниченным доступом |
|
конфиденциальная
|
|
Тайна следствия и судопроизводства |
|
Служебная тайна |
|
Сведения, связанные с профессиональной деятельнстью |
|
Коммерческая тайна |
|
Сведения о сущности изобретения, полезной модели или промышленного образца |
Персональные данные |
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
государственная тайна
Защищаемые государством сведения в области его военной,
внешнеполитической, экономической, разведывательной, контрразведывательной
и оперативно-розыскной
деятельности, распространение которых может нанести ущерб безопасности
Российской Федерации
Рис. 36. Классификация информации по типу регламентации распространения и использования
Под открытой информацией понимается информация, собираемая, создаваемая и/или сохраняемая вузом, которая не составляет государственную или иного вида тайну, определенную законодательством либо уставом вуза. К ней можно отнести учебные расписания, методическую литературу и др.
К информации ограниченного доступа относится информация,
определенная законодательством и уставом вуза как информация ограниченного доступа. К данному типу можно отнести государственную, служебную, профессиональную тайну, персональные данные.
Государственная тайна. Вузы владеют значительным объемом информации, относящейся к передовым направлениям науки и техники, используемой как при подготовке специалистов, так и при выполнении научно-исследовательских работ, значительная часть которых финансировалась и финансируется по настоящее время государством. Среди этого потока информации существует значительное ко-
98
личество сведений, составляющих государственную тайну, разглашение которых может нанести ущерб государственным интересам. Обращение с этими сведениями требует особого режима, исключающего допуск сторонних лиц. Права и обязанности участников информационных процессов при работе со сведениями, составляющими государственную тайну, регламентируются законом «О государственной тайне» [6].
Служебная тайна. Существует целый ряд сведений, не являющихся государственными секретами, связанных с производством, технологией, управлением, финансами, другой деятельностью хозяйствующего субъекта, разглашение которых (передача, утечка) может нанести ущерб его интересам. Такие сведения принято называть служебной и/или коммерческой тайной.
Профессиональная тайна – это секреты, связанные с организацией учебных процессов и др. [6].
Персональные данные. Под таковыми понимается любая документированная и/или занесенная на машинные носители информация, которая относится к конкретному человеку и/или может быть отождествлена с конкретным человеком. Это информация о студентах, преподавателях, партнерах и др. [7].
Кинформации ограниченного доступа также относятся сведения
осодержании проектов постановлений, распоряжений и других внутренних документов [2].
Доступ к общедоступной информации является открытым, и ее использование не может нанести вреда ИС. Что касается информации ограниченного доступа, то доступ к ней должен быть строго регламентирован, т.е. должно быть четко установлено, где, кем, в каком объеме и на каких условиях может быть использована данная информация. Такое разграничение должно обусловливаться тем, что пользователи ИС вуза имеют разные профессиональные интересы и уровень подготовки при работе с информацией различного рода. Это преподаватели, занятые разработкой новых лекционных курсов, лабораторных и исследовательских практикумов; научные сотрудники, ведущие исследовательские и проектные работы; сотрудники офисных служб вуза, учебного и научно-исследовательского отделов, деканатов, библиотеки и т.п., а также студенты.
Из этого следует, что информация ограниченного доступа должна подвергаться защите от воздействия различных событий, явлений как внутренних, так и внешних, способных в той или иной мере нанести ущерб данной информации.
99
Таким образом, организация обеспечения информационной безопасности вуза должна носить комплексный характер и основываться на глубоком анализе негативных всевозможных последствий, который предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению (уязвимостей) и, как следствие, определение актуальных угроз информационной безопасности вуза. Территориально распределенная структура ИС вуза создает ряд предпосылок для реализации разнообразия потенциальных угроз ИБ, которые могут нанести ущерб ИС. Для ИС вуза свойственны антропогенные, техногенные и стихийные источники угроз, которые воздействуют на систему через ее уязвимости, характерные для любой ИС (как бы она идеально ни была построена), реализуя тем самым угрозы ИБ.
Процесс построения комплексной системы защиты информации вуза представляет собой весьма затратное мероприятие с точки зрения трудоемкости и материальных затрат, требующее наличия квалифицированных специалистов. Для сокращения затрат на проектирование комплексной системы защиты информации вуза в условиях ограниченного финансирования, отсутствия, как правило, квалифицированных специалистов и значительного снижения трудоемкости целесообразно использовать специализированные объектно-ориенти- рованные САПР.
Рассмотрим возможность применения разработанной коллективом ученых Брянского государственного технического университета САПР КСЗИ для проектирования системы комплексной защиты информации объекта. Объектом защиты, для которого проектируется комплексная система защиты информации, выступает технический университет, расположенный в областном центре (далее – университет). Истинное наименование вуза не указывается, так как при создании комплексной системы защиты информации возможна утечка конфиденциальной информации, присущей конкретному вузу.
При анализе защищенности информационных ресурсов в университете были выявлены следующие виды информации: открытая информация, информация о ноу-хау и научно-исследовательских работах, а также информация о персональных данных сотрудников, преподавателей, студентов и аспирантов университета. Открытая информация, информация о ноу-хау и научно-исследовательских разработках защищена на достаточно высоком уровне, способном
100