Национальный технический университет Украины "Киевский политехнический институт" Физико-технический институт
А.А.Тимоше...
26 downloads
41087 Views
2MB Size
Report
This content was uploaded by our users and we assume good faith they have the permission to share this book. If you own the copyright to this book and it is wrongfully on our website, we offer a simple DMCA procedure to remove your content from our site. Start by pressing the button below!
Report copyright / DMCA form
Национальный технический университет Украины "Киевский политехнический институт" Физико-технический институт
А.А.Тимошенко
ЗАЩИТА ИНФОРМАЦИИ В СПЕЦИАЛИЗИРОВАННЫХ ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ
Текст лекций
Киев 2010
2 СОДЕРЖАНИЕ Перечень сокращений............................................................................................................................ 8 1 Основные принципы построения современных информационно-телекоммуникационных систем 9 1.1 Основы архитектуры современных компьютерных сетей. Локальные и распределенные сети ............................................................................................................................................................ 9 1.2 Протоколы взаимодействия. Эталонная модель взаимодействия открытых систем. Уровни стека протоколов взаимодействия................................................................................................... 10 1.3 Наиболее распространенные стеки протоколов взаимодействия современных компьютерных сетей ................................................................................................................................................. 16 1.3.1 Стек протоколов OSI/ISO.................................................................................................... 17 1.3.2 Стек протоколов IPX/SPX................................................................................................... 19 1.3.3 Стек протоколов NetBIOS/SMB.......................................................................................... 20 1.3.4 Стек протоколов TCP/IP...................................................................................................... 21 1.4 Основные компоненты современных ИТС ............................................................................... 24 1.4.1 Канал передачи данных....................................................................................................... 24 1.4.2 Устройство коммутации пакетов........................................................................................ 25 1.4.3 Устройство маршрутизации пакетов .................................................................................. 26 1.4.4 Сервер локальной вычислительной сети............................................................................ 26 1.4.5 Рабочая станция локальной вычислительной сети ............................................................ 28 1.4.6 Модель клиент-сервер......................................................................................................... 29 1.4.7 Сервер приложений общего назначения ............................................................................ 29 1.4.8 Клиент сервера приложений общего назначения .............................................................. 29 1.4.9 Специализированные серверы приложений и их клиенты................................................ 30 1.4.9.1 Сервер системы управления базой данных ................................................................. 30 1.4.9.2 Клиент системы управления базой данных ................................................................. 31 1.4.9.3 Сервер системы электронной почты............................................................................ 31 1.4.9.4 Клиент системы электронной почты ........................................................................... 31 1.4.9.5 Web-сервер.................................................................................................................... 32 1.4.9.6 Web-клиент ................................................................................................................... 32 1.5 Основные типы архитектур современных ИТС........................................................................ 33 1.5.1 Файл-серверная архитектура .............................................................................................. 33 1.5.2 Клиент-серверная архитектура ........................................................................................... 33 1.5.2.1 Двухуровневая клиент-серверная архитектура ........................................................... 33 1.5.2.1.1 Локализованная двухуровневая клиент-серверная архитектура.......................... 34 1.5.2.1.2 Распределенная двухуровневая клиент-серверная архитектура .......................... 35
3 1.5.2.2 Трехуровневая архитектура "Клиент – сервер приложений – сервер СУБД"............ 36 1.5.2.2.1 Локализованная трехуровневая архитектура "Клиент – сервер приложений – сервер СУБД" ....................................................................................................................... 36 1.5.2.2.2 Распределенная трехуровневая архитектура "Клиент – сервер приложений – сервер СУБД" ....................................................................................................................... 37 2 Общие принципы (концепция) обеспечения защиты информации в ИТС..................................... 39 2.1 Основные свойства информации и подход к обеспечению защиты информации в ИТС....... 39 2.1.1 Понятие защищенности информации в ИТС ..................................................................... 39 2.1.3 Общий подход к обеспечению защищенности информации в ИТС и основные этапы его реализации.................................................................................................................................... 41 2.2 Анализ ИТС как объекта защиты .............................................................................................. 42 2.2.1 Анализ ИТС как объекта защиты, определение защищаемых информационных ресурсов, разработка политики безопасности информации, обрабатываемой в ИТС............................... 42 2.2.2 Классы ИТС согласно НД ТЗИ ........................................................................................... 44 2.3 Анализ потенциальных угроз информации в ИТС ................................................................... 46 2.3.1 Понятие угрозы информации. Угрозы конфиденциальности, целостности, доступности информации.................................................................................................................................. 46 2.3.2 Классификации угроз информации .................................................................................... 47 2.3.3 Модель потенциального нарушителя в ИТС...................................................................... 51 2.3.4 Характеристика основных способов реализации угроз информации в современных ИТС ...................................................................................................................................................... 52 2.3.5 Характеристика наиболее распространенных способов реализации угроз информации, обрабатываемой в ИТС................................................................................................................ 52 2.3.5.1 Несанкционированный доступ..................................................................................... 52 2.3.5.2 Незаконное использование привилегий ...................................................................... 55 2.3.5.3 Атаки "салями" ............................................................................................................. 57 2.3.5.4 Использование "Скрытых каналов"............................................................................. 57 2.3.5.5 "Маскарад" .................................................................................................................... 59 2.3.5.6 Атака типа "Сбор мусора"............................................................................................ 61 2.3.5.7 Атака "Взлом системы" ................................................................................................ 62 2.3.5.8 Использование вредоносных программ....................................................................... 64 2.3.5.9 Подмена данных ........................................................................................................... 68 2.3.5.10 Навязывание ложного маршрута ............................................................................... 70 2.3.5.11 Перехват сообщений................................................................................................... 72
4 2.4 Этапы и методы управления рисками, связанными с реализацией угроз информации в ИТС73 2.4.1 Элементы управления риском ............................................................................................ 74 2.4.2 Оценка риска ....................................................................................................................... 75 2.5 Реализация мероприятий по обеспечению защиты информации в ИТС ................................. 81 2.5.1 Реализация организационных мер защиты......................................................................... 81 2.5.2 Реализация технических мер защиты ................................................................................. 83 2.5.2.1 Базовые понятия. Услуги безопасности, механизмы защиты, средства защиты ....... 84 2.5.2.1.1 Услуги безопасности ............................................................................................. 84 2.5.2.1.2 Функции и механизмы защиты ............................................................................. 85 2.5.2.2 Услуги безопасности и механизмы защиты согласно стандартам ISO ...................... 85 2.5.2.2.1 Услуги безопасности согласно стандартам ISO ................................................... 85 2.5.2.2.2 Механизмы защиты согласно стандартам ISO ..................................................... 87 2.5.2.3 Услуги безопасности согласно НД ТЗИ 2.5-004-99 .................................................... 93 2.5.2.3.1 Услуги, механизмы и средства обеспечения конфиденциальности информации94 2.5.2.3.2 Услуги, механизмы и средства обеспечения целостности информации ............. 97 2.5.2.3.3 Услуги, механизмы и средства обеспечения доступности информации ............. 99 2.5.2.3.4 Услуги, механизмы и средства обеспечения наблюдаемости ИТС ....................101 2.5.3 Оценка эффективности систем защиты информации, обрабатываемой в ИТС...............104 3. Особенности построения СЗИ в ИТС различного типа ................................................................107 3.1 Требования законодательства по защите информации в ИТС различного типа ....................107 3.1.1 Требования Закона Украины "Об информации"...............................................................107 3.1.2 Требования Закона Украины "О защите информации в информационнотелекоммуникационных системах" ............................................................................................108 3.1.3 Требования Закона Украины "Об электронных документах и электронном документообороте" .....................................................................................................................110 3.1.4 Требования Закона Украины "Об электронной цифровой подписи"...............................114 3.1.5 Требования Закона Украины "О банках и банковской деятельности".............................121 3.1.6 Требования Закона Украины "О платежных системах и переводе денег в Украине".....122 3.1.7 Требования Закона Украины "О защите персональных данных" ....................................132 3.2 Особенности построения СЗИ в системах электронной почты ..............................................142 3.2.1 Назначение, состав и архитектура систем электронной почты........................................142 3.2.2 Угрозы информации, характерные для систем ЭП. Модель потенциального нарушителя в системах ЭП .............................................................................................................................143 3.2.2.1 Анализ системы ЭП как объекта защиты и определение защищаемых информационных ресурсов.....................................................................................................143
5 3.2.2.2 Модель потенциального нарушителя в системе ЭП ..................................................144 3.2.2.3 Анализ потенциальных угроз информации в системах ЭП. Анализ и оценка рисков, связанных с реализацией угроз информации в системах ЭП ................................................144 3.2.3 Особенности построения систем защиты информации в системах ЭП ...........................150 3.2.3.1 Функциональная спецификация КСЗ системы защиты ЭП.......................................150 3.2.3.2 Политика функциональных услуг безопасности и используемые механизмы защиты ..................................................................................................................................................151 3.2.3.3 Замечания по реализации функциональных услуг.....................................................156 3.2.3.4 Структура и состав СЗИ системы ЭП.........................................................................156 3.3 Особенности защиты информации в системах электронного документооборота..................157 3.3.1 Назначение, состав и архитектура систем электронного документооборота ..................157 3.3.2 Угрозы информации, характерные для СЭД. Модель потенциального нарушителя в СЭД .....................................................................................................................................................158 3.3.2.1 Анализ СЭД как объекта защиты и определение защищаемых информационных ресурсов ...................................................................................................................................158 3.3.2.2 Модель потенциального нарушителя в СЭД..............................................................160 3.3.2.3 Анализ потенциальных угроз информации в СЭД. Анализ и оценка рисков, связанных с реализацией угроз информации в СЭД .............................................................161 3.3.3 Особенности построения систем защиты информации в СЭД.........................................170 3.3.3.1 Функциональная спецификация КСЗ системы защиты информации в СЭД ............171 3.3.3.2 Политика функциональных услуг безопасности и используемые механизмы защиты ..................................................................................................................................................171 3.3.3.3 Структура и состав СЗИ СЭД .....................................................................................181 3.4 Особенности защиты информации в автоматизированных банковских системах.................182 3.4.1 Назначение, состав и архитектура автоматизированных банковских систем .................182 3.4.2 Угрозы информации, характерные для АБС. Модель потенциального нарушителя в АБС .....................................................................................................................................................184 3.4.2.1 Анализ АБС как объекта защиты и определение защищаемых информационных ресурсов ...................................................................................................................................184 3.4.2.2 Модель потенциального нарушителя в АБС ..............................................................187 3.4.2.3 Анализ потенциальных угроз информации в АБС. Анализ и оценка рисков, связанных с реализацией угроз информации в АБС..............................................................188 3.4.3 Особенности построения СЗИ в АБС ................................................................................197 3.4.3.1 Функциональная спецификация КСЗ СЗИ в АБС ......................................................198
6 3.4.3.2 Политика функциональных услуг безопасности и используемые механизмы защиты198 3.4.3.3 Структура и состав СЗИ в АБС...................................................................................209 3.5 Особенности защиты информации в информационно-справочных системах........................209 3.5.1 Назначение, состав и архитектура информационно-справочных систем ........................209 3.5.2 Требования действующих НД ТЗИ по защите информации в ИСС.................................211 3.5.3 Угрозы информации, характерные для ИСС. Модель потенциального нарушителя в ИСС .....................................................................................................................................................212 3.5.3.1 Анализ ИСС как объекта защиты и определение защищаемых информационных ресурсов ...................................................................................................................................212 3.5.3.2 Модель потенциального нарушителя в ИСС..............................................................214 3.5.4 Особенности построения систем защиты информации в ИСС ........................................216 3.5.4.1 Функциональные спецификации КСЗ системы защиты информации в ИСС...........216 3.5.4.2 Политика функциональных услуг безопасности и используемые механизмы защиты ..................................................................................................................................................217 3.5.4.4 Структура и состав СЗИ в ИСС ..................................................................................225 3.6 Особенности защиты информации в сложных корпоративных ИТС .....................................225 3.6.1 Назначение, состав и архитектура сложных корпоративных ИТС ..................................225 3.6.2 Угрозы информации, характерные для сложных корпоративных ИТС. Модель потенциального нарушителя в сложных корпоративных ИТС.................................................226 3.6.3 Особенности построения систем защиты информации в сложных корпоративных ИТС .....................................................................................................................................................227 3.7 Особенности защиты информации в системах обработки информации с ограниченным доступом..........................................................................................................................................228 3.7.1 Назначение, состав и архитектура систем обработки информации с ограниченным доступом......................................................................................................................................228 3.7.2 Требования законодательства и действующих НД ТЗИ по защите информации в системах обработки ИсОД..........................................................................................................228 3.7.3 Угрозы информации, характерные для систем обработки ИсОД. Модель потенциального нарушителя в системах обработки ИсОД ..................................................................................231 3.7.3.1 Анализ системы обработки ИсОД как объекта защиты и определение защищаемых информационных ресурсов.....................................................................................................231 3.7.3.2 Модель потенциального нарушителя в системе обработки ИсОД (АС класса 2).....233 3.7.4 Особенности построения систем защиты информации в системах обработки ИсОД.....234 3.7.4.1 Функциональные спецификации КСЗ СЗИ в системах обработки ИсОД для различных технологий обработки информации.....................................................................234
7 3.7.4.2 Политика функциональных услуг безопасности и используемые механизмы защиты236 3.7.4.3 Структура и состав СЗИ системы обработки ИсОД ..................................................245 4 Основные принципы организации экспертизы систем защиты информации в ИТС....................246 4.1 Основные принципы .................................................................................................................246 4.2 Порядок организации и проведения экспертизы .....................................................................249 4.3 Особенности оценки уровней функциональных услуг безопасности и уровня гарантий реализации функциональных услуг безопасности ........................................................................250 4.4 Особенности экспертизы КСЗИ ...............................................................................................251
8 ПЕРЕЧЕНЬ СОКРАЩЕНИЙ АБС – автоматизированная банковская система АС – автоматизированная система БД – база данных ВОС – взаимодействие открытых систем ИсОД – информация с ограниченным доступом ИСС – информационно-справочная система ИТС – информационно-телекоммуникационная система ККЦ – код контроля целостности КСЗ – комплекс средств защиты КСЗИ – комплексная система защиты информации ЛВС – локальная вычислительная сеть НД – нормативный документ НСД – несанкционированный доступ ОС – операционная система ПБ – политика безопасности ПО – программное обеспечение ПРД – правила разграничения доступа ПС – программные средства ПЭМИ – побочное электромагнитное излучение РВС – распределенная вычислительная сеть РС – рабочая станция СЗИ – система защиты информации СУБД – система управления базой данных СЭД – система электронного документооборота ТЗИ – техническая защита информации ФС – файловый сервер ЭВМ – электронная вычислительная машина ЭП – электронная почта ЭЦП – электронная цифровая подпись
9 1 ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СОВРЕМЕННЫХ ИНФОРМАЦИОННОТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ Информационно-телекоммуникационная организационно-техническая система,
система
(автоматизированная
система)-
реализующая определенную технологию обработки
информации (информационную технологию) и объединяющая совокупность программноаппаратных средств, предназначенных для обработки информации, обмена информацией и взаимодействия
между компонентами, физическую среду, персонал и обрабатываемую
информацию. Информационная составляющая информационно-телекоммуникационной системы (ИТС) программно-аппаратные средства, предназначенные для обработки информации, а также сама обрабатываемая информация. Телекоммуникационная
составляющая
ИТС
-
программно-аппаратные
средства,
предназначенные для обмена информацией и взаимодействия между компонентами. Технической основой функционирования подавляющего большинства современных ИТС являются компьютерные сети. 1.1
Основы
архитектуры
современных
компьютерных
сетей.
Локальные
и
распределенные сети Компьютерная сеть (вычислительная сеть) - совокупность взаимодействующих в процессе своего функционирования компьютеров. Главная цель, которая преследуется при соединении компьютеров в сеть - это возможность использования ресурсов каждого (или специально предназначенных) компьютеров (жесткие диски, принтеры и т.п.) пользователями сети. Таким образом, компьютерная сеть - совокупность взаимодействующих компьютеров, имеющих совместно используемые (разделяемые) ресурсы. Локальная компьютерная сеть (локальная вычислительная сеть, ЛВС) - компьютерная сеть, входящие в состав которой компоненты расположены и функционируют на ограниченной территории и, в связи с этим, для организации взаимодействия между ними используются каналы передачи данных одного типа и физической природы. Распределенная компьютерная сеть (распределенная вычислительная сеть, РВС) компьютерная сеть, функционирующие в составе которой компьютеры и локальные сети территориально разнесены, а взаимодействие между ними организовано с использованием каналов передачи данных разного типа и физической природы.
10 1.2 Протоколы взаимодействия. Эталонная модель взаимодействия открытых систем. Уровни стека протоколов взаимодействия Задача обеспечения взаимодействия объектов (компьютеров), входящих в состав ИТС и объединенных в сеть, включает в себя решение множества проблем- выбор способа адресации объектов в сети, согласование электрических сигналов при установление электрической связи, обеспечение надежной передачи данных и обработка сообщений об ошибках, формирование отправляемых и интерпретация полученных сообщений и т.д. Данная задача обычно решается путем декомпозиция на несколько частных подзадач, для решения каждой предназначается некоторый модуль. Все множество модулей, решающих подзадачи, разбивается на иерархически упорядоченные группы - уровни. Для каждого уровня определяется набор функций/ запросов, с которыми к модулям данного уровня могут обращаться модули выше лежащего уровня для решения своих задач. Такой формально определенный набор функций, выполняемых данным уровнем для выше лежащего уровня, а также форматы сообщений, которыми обмениваются два соседних уровня в ходе своего взаимодействия, называется интерфейсом. Правила взаимодействия двух объектов в сети могут быть описаны в виде набора процедур для каждого из уровней. Такие формализованные правила, определяющие последовательность и формат сообщений, которыми обмениваются сетевые компоненты, лежащие на одном уровне, но в разных узлах сети, называются протоколами. Согласованный набор протоколов разных уровней, достаточный для организации межсетевого взаимодействия, называется стеком протоколов. Международная организация по стандартам (International Standards Organization, ISO) разработала модель, которая четко определяет различные уровни взаимодействия систем, дает им стандартные имена и указывает, какие функции должен выполнять каждый уровень. Эта модель называется моделью взаимодействия открытых систем (ВОС) ISO. В данной модели взаимодействие делится на семь уровней (рис. 1.1). Каждый уровень отвечает за обеспечение одного определенного аспекта взаимодействия и поддерживает интерфейсы с выше- и нижележащими уровнями.
11
Рис.1.1 Взаимодействие между уровнями стека протоколов модели ВОС Россмотрим функции, реализуемые протоколами различных уровней модели ВОС. Физический уровень выполняет передачу битов по физическим каналам, таким, например, как коаксиальный кабель, витая пара или оптоволоконный кабель. К этому уровню имеют отношение характеристики физических сред передачи данных, такие, как полоса пропускания, помехозащищенность, волновое сопротивление и другие. На этом же уровне определяются характеристики электрических сигналов, такие как требования к фронтам импульсов, уровням напряжения или тока передаваемого сигнала, тип кодирования, скорость передачи сигналов. Кроме этого, здесь стандартизуются типы разъемов и назначение каждого контакта. Функции физического уровня реализуются во всех устройствах, подключенных к сети. Со стороны компьютера функции физического уровня выполняются сетевым адаптером, модемом и т.п. Примером протокола физического уровня может служить спецификация 10Base-T технологии Ethernet, которая определяет в качестве используемого кабеля неэкранированную витую пару категории 3 с волновым сопротивлением 100 Ом, разъем RJ-45, максимальную длину физического сегмента 100 метров, манчестерский код для представления данных в кабеле, и другие характеристики среды и электрических сигналов.
12 Канальный уровень обеспечивает передачу кадра данных между любыми узлами в сетях с типовой топологией либо между двумя соседними узлами в сетях с произвольной топологией. На физическом уровне просто пересылаются биты. При этом не учитывается, что в некоторых сетях, в которых линии связи используются (разделяются) попеременно несколькими парами взаимодействующих компьютеров, физическая среда передачи может быть занята. Поэтому одной из задач канального уровня является проверка доступности среды передачи. Другой задачей канального уровня является реализация механизмов обнаружения и коррекции ошибок. Для этого на канальном уровне биты группируются в наборы, называемые кадрами (frame). Канальный уровень
обеспечивает
корректность
передачи
каждого
кадра,
помещая
специальную
последовательность бит в начало и конец каждого кадра, чтобы отметить его, а также вычисляет контрольную сумму, суммируя все байты кадра определенным способом и добавляя контрольную сумму к кадру. Когда кадр приходит, получатель снова вычисляет контрольную сумму полученных данных и сравнивает результат с контрольной суммой из кадра. Если они совпадают, кадр считается правильным и принимается. Если же контрольные суммы не совпадают, то фиксируется ошибка. В компьютерах функции канального уровня реализуются совместными усилиями сетевых адаптеров и их драйверов. Сетевой уровень обеспечивает доставку данных между любыми двумя узлами в сети с произвольной топологией, при этом он не берет на себя никаких обязательств по надежности передачи данных. Протокол канального уровня обеспечивает доставку данных между любыми узлами только в сети с соответствующей типовой топологией. Это очень жесткое ограничение, которое не позволяет строить сети с развитой структурой, например, сети, объединяющие несколько сетей предприятия в единую сеть, или высоконадежные сети, в которых существуют избыточные связи между узлами. Для того, чтобы с одной стороны сохранить простоту процедур передачи данных для типовых топологий, а с другой стороны допустить использование произвольных топологий, вводится дополнительный сетевой уровень. На этом уровне вводится более узкое понятие "сеть". В данном случае под сетью понимается совокупность компьютеров, соединенных между собой в соответствии с одной из стандартных типовых топологий и использующих для передачи данных один из протоколов канального уровня, определенный для этой топологии. Таким образом, внутри сети доставка данных регулируется канальным уровнем, а вот доставкой данных между сетями занимается сетевой уровень. Сообщения сетевого уровня принято называть "пакетами" (packet). При организации доставки пакетов на сетевом уровне используется понятие "номер сети". В этом случае адрес получателя состоит из номера сети и номера компьютера в этой сети.
13 Сети
соединяются
между
собой
специальными
устройствами,
называемыми
маршрутизаторами. Маршрутизатор - это устройство, которое собирает информацию о топологии межсетевых соединений и на ее основании пересылает пакеты сетевого уровня в сеть назначения. Для того, чтобы передать сообщение от отправителя, находящегося в одной сети, получателю, находящемуся в другой сети, нужно совершить некоторое количество транзитных передач (hops) между сетями, каждый раз выбирая подходящий маршрут. Таким образом, маршрут представляет собой последовательность маршрутизаторов, через которые проходит пакет. Проблема выбора наилучшего пути называется маршрутизацией, и ее решение является главной задачей сетевого уровня. Протоколы сетевого уровня реализуются программными модулями операционной системы, а также программными и аппаратными средствами маршрутизаторов. Транспортный уровень обеспечивает передачу данных между любыми узлами сети с требуемым уровнем надежности. На пути от отправителя к получателю пакеты могут быть искажены или утеряны. Хотя некоторые приложения имеют собственные средства обработки ошибок, существуют и такие, которые предпочитают сразу иметь дело с надежным соединением. Работа транспортного уровня заключается в том, чтобы обеспечить приложениям или верхним уровням стека - прикладному и сеансовому - передачу данных с той степенью надежности, которая им требуется. Модель ВОС определяет пять классов сервиса, предоставляемых транспортным уровнем. Эти виды сервиса отличаются качеством предоставляемых услуг: срочностью,
возможностью
восстановления
прерванной
связи,
наличием
средств
мультиплексирования нескольких соединений между различными прикладными протоколами через общий транспортный протокол, а главное - способностью к обнаружению и исправлению ошибок передачи, таких как искажение, потеря и дублирование пакетов. Начиная
с
транспортного
уровня,
все
вышележащие
протоколы
реализуются
программными средствами, обычно включаемыми в состав сетевой операционной системы. Сеансовый уровень обеспечивает управление диалогом для того, чтобы фиксировать, какая из сторон является активной в настоящий момент, а также предоставляет средства синхронизации. Последние позволяют вставлять контрольные точки в длинные передачи, чтобы в случае отказа можно было вернуться назад к последней контрольной точке, вместо того, чтобы начинать все с начала. На практике немногие приложения используют сеансовый уровень, и он редко реализуется. Уровень представления обеспечивает гарантию того, что информация, передаваемая прикладным уровнем, будет понятна прикладному уровню в другой системе. В случаях необходимости уровень представления выполняет преобразование форматов данных в некоторый общий формат представления, а на приеме, соответственно, выполняет обратное преобразование.
14 Таким образом прикладные уровни могут преодолеть, например, синтаксические различия в представлении данных. Прикладной уровень - это в действительности просто набор разнообразных протоколов, с помощью которых пользователи сети получают доступ к разделяемым ресурсам, таким как файлы, принтеры или гипертекстовые Web-страницы, а также организуют свою совместную работу, например с помощью протокола электронной почты. Единица данных, которой оперирует прикладной уровень, обычно называется сообщением (message). Функции всех уровней модели ВОС могут быть отнесены к одной из двух групп: либо к функциям, зависящим от конкретной технической реализации сети, либо к функциям, ориентированным на работу с приложениями. Три нижних уровня - физический, канальный и сетевой - являются сетезависимыми, то есть протоколы этих уровней тесно связаны с технической реализацией сети, с используемым коммуникационным оборудованием. Например, переход на другой тип канала передачи данных (например, с аналогового на цифровой) означает полную смену протоколов физического и канального уровня во всех узлах сети. Три верхних уровня - сеансовый, уровень представления и прикладной - ориентированы на приложения и мало зависят от технических особенностей построения сети. На протоколы этих уровней не влияют никакие изменения в топологии сети, замена оборудования или переход на другую сетевую технологию. Так, переход от Ethernet на высокоскоростную технологию АТМ не потребует никаких изменений в программных средствах, реализующих функции прикладного, представительного и сеансового уровней. Транспортный
уровень
является
промежуточным,
он
скрывает
все
детали
функционирования нижних уровней от верхних уровней. Это позволяет разрабатывать приложения,
не
зависящие
от
технических
транспортировкой сообщений (рис. 1.2).
средств,
непосредственно
занимающихся
15
Рис. 1.2. Сетезависимые и сетенезависимые уровни модели ВОС Рассмотрим взаимодействие между двумя компонентами ИТС со стеком протоколов, соответствующим эталонной модели ВОС, в целом. Итак, пусть приложение обращается с запросом к прикладному уровню, например к файловому сервису. На основании этого запроса программное обеспечение прикладного уровня формирует сообщение стандартного формата, в которое помещает служебную информацию (заголовок) и, возможно, передаваемые данные. Затем это сообщение направляется уровню представления. Уровень представления добавляет к сообщению свой заголовок и передает результат вниз сеансовому уровню, который в свою очередь добавляет свой заголовок и т.д. Некоторые реализации протоколов предусматривают наличие в сообщении не только заголовка, но и концевика. Наконец, сообщение достигает самого низкого, физического уровня, который действительно передает его по каналам связи. К этому моменту сообщение выглядит так, как показано на рис. 1.3.
16
Рис. 1.3 Вложенность пакетов различных уровней Когда сообщение по сети поступает на другой компонент ИТС, оно последовательно перемещается вверх с уровня на уровень. Каждый уровень анализирует, обрабатывает и удаляет заголовок своего уровня, выполняет соответствующие данному уровню функции и передает сообщение вышележащему уровню.
1.3 Наиболее распространенные стеки протоколов взаимодействия современных компьютерных сетей Существует достаточно много стеков протоколов, широко применяемых в сетях. Это и стеки, являющиеся международными и национальными стандартами, и фирменные стеки, получившие распространение благодаря распространенности оборудования той или иной фирмы. Рассмотрим наиболее распространенные стеки протоколов и их соответствие уровням эталонной модели ВОС.
17 1.3.1 Стек протоколов OSI/ISO По вполне очевидным причинам стек OSI/ISO в отличие от других стандартных стеков полностью соответствует модели взаимодействия ВОС, он включает спецификации для всех семи уровней модели взаимодействия открытых систем (рис. 1.4).
Рис. 1.4. Стек протоколов OSI/ISO На физическом и канальном уровнях стек OSI поддерживает протоколы Ethernet, Token Ring, FDDI, а также протоколы LLC, X.25 и ISDN. Сервисы сетевого, транспортного и сеансового уровней также имеются в стеке OSI, однако они мало распространены. На сетевом уровне реализованы протоколы как без установления соединений, так и с установлением соединений. Транспортный протокол стека OSI в соответствии с функциями, определенными для него в модели ВОС, скрывает различия между сетевыми сервисами с установлением соединения и без установления соединения, так что пользователи получают нужное качество обслуживания независимо от нижележащего сетевого уровня. Чтобы обеспечить это, транспортный уровень требует, чтобы пользователь задал нужное качество обслуживания. Определены 5 классов транспортного сервиса, от низшего класса 0 до высшего
18 класса 4, которые отличаются степенью устойчивости к ошибкам и требованиями к восстановлению данных после ошибок. Сервисы прикладного уровня включают передачу файлов, эмуляцию терминала, службу каталогов и почту. Из них наиболее важными и известными являются служба каталогов (стандарт Х.500), электронная почта (Х.400), протокол виртуального терминала (VT), протокол передачи, доступа и управления файлами (FTAM), протокол пересылки и управления заданиями (JTM). В последнее время ISO сконцентрировала свои усилия именно на сервисах верхнего уровня. X.400 - это семейство рекомендаций Международного консультативного комитета по телеграфии и телефонии (CCITT), в которых описываются системы пересылки электронных сообщений. На сегодняшний день рекомендации X.400 являются наиболее популярным протоколом обмена сообщениями электронной почты. Рекомендации Х.400 описывают модель системы обмена сообщениями, протоколы взаимодействия между всеми компонентами этой системы, а также множество видов сообщений и возможности, которыми обладает отправитель по каждому виду отправляемых сообщений. Целью рекомендаций X.500 является выработка стандартов глобальной справочной службы. Процесс доставки сообщения требует знания адреса получателя, что при больших размерах сетей представляет собой проблему, поэтому необходимо иметь справочную службу, помогающую получать адреса отправителей и получателей. В общем виде служба X.500 представляет собой распределенную базу данных имен и адресов. Все пользователи потенциально имеют право войти в эту базу данных, используя определенный набор атрибутов. Протокол VT решает проблему несовместимости различных протоколов эмуляции терминалов. Передача файлов - это наиболее распространенный компьютерный сервис. Доступ к файлам, как к локальным, так и к удаленным, нужен всем приложениям - текстовым редакторам, электронной почте, базам данных или программам удаленного запуска. ISO предусматривает такой сервис в протоколе FTAM. FTAM предусматривает средства для локализации и доступа к содержимому файла и включает набор директив для вставки, замены, расширения и очистки содержимого файла. FTAM также предусматривает средства для манипулирования файлом как единым целым, включая создание, удаление, чтение, открытие, закрытие файла и выбор его атрибутов. Протокол пересылки и управления заданиями JTM позволяет пользователям пересылать работы, которые должны быть выполнены на хост-компьютере. Язык управления заданиями, который обеспечивает передачу работ, указывает хост-компьютеру, какие действия и с какими программами и файлами должны быть выполнены. Протокол JTM поддерживает традиционную
19 пакетную
обработку,
обработку
транзакций,
ввод
удаленных
заданий
и
доступ
к
распределенным базам данных. 1.3.2 Стек протоколов IPX/SPX Этот стек является оригинальным стеком протоколов фирмы Novell, который она разработала для своей сетевой операционной системы NetWare еще в начале 80-х годов. Семейство протоколов фирмы Novell и их соответствие модели ВОС представлено на рисунке 1.5.
Рис. 1.5. Стек протоколов IPX / SPX На физическом и канальном уровнях в сетях Novell используются все популярные протоколы этих уровней (Ethernet, Token Ring, FDDI и другие). На сетевом уровне в стеке Novell работает протокол IPX, а также протоколы обмена маршрутной информацией RIP и NLSP. Транспортному уровню модели ВОС в стеке Novell соответствует протокол SPX, который осуществляет передачу сообщений с установлением соединений. На верхних прикладном, представительном и сеансовом уровнях работают протоколы NCP и SAP. Протокол NCP (NetWare Core Protocol) является протоколом взаимодействия сервера NetWare и оболочки рабочей станции. С помощью функций этого протокола рабочая станция производит подключение к серверу, отображает каталоги сервера на локальные имена дисководов,
20 просматривает файловую систему сервера, копирует удаленные файлы, изменяет их атрибуты и т.п., а также осуществляет разделение сетевого принтера между рабочими станциями. SAP (Service Advertising Protocol) - протокол объявления о сервисе - дает возможность сетевым устройствам обмениваться информацией об имеющихся сетевых сервисах. Серверы и маршрутизаторы используют SAP для объявления о своих сервисных услугах и сетевых адресах. Сейчас стек IPX/SPX реализован не только в NetWare, но и в нескольких других популярных сетевых операционных систем (ОС) – SCO UNIX, Sun Solaris, Microsoft Windows NT/2000/2003. 1.3.3 Стек протоколов NetBIOS/SMB Стек протоколов NetBIOS/SMB является совместной разработкой фирм Microsoft и IBM. Средства NetBIOS появились в 1984 году как сетевое расширение стандартных функций базовой системы ввода/вывода (BIOS) IBM PC для сетевой программы PC Network фирмы IBM, которая на прикладном уровне (рис. 1.6) использовала для реализации сетевых сервисов протокол SMB (Server Message Block).
Рис. 1.6. Стек протоколов NetBIOS/SMB Протокол NetBIOS работает на трех уровнях модели взаимодействия открытых систем: сетевом, транспортном и сеансовом. NetBIOS может обеспечить сервис более высокого уровня, чем протоколы IPX и SPX, однако не обладает способностью к маршрутизации. Таким образом, NetBIOS не является сетевым протоколом в строгом смысле этого слова. NetBIOS содержит много
21 полезных сетевых функций, которые можно отнести к сетевому, транспортному и сеансовому уровням, однако с его помощью невозможна маршрутизация пакетов, так как в протоколе обмена кадрами NetBIOS не вводится такое понятие как сеть. Это ограничивает применение протокола NetBIOS локальными сетями, не разделенными на подсети. NetBIOS поддерживает как дейтаграммный обмен, так и обмен с установлением соединений. Протокол SMB, соответствующий прикладному и представительному уровням модели ВОС, регламентирует взаимодействие рабочей станции с сервером. В функции SMB входят следующие операции: -
Управление сессиями. Создание и разрыв логического канала между рабочей станцией и сетевыми ресурсами файлового сервера.
-
Файловый доступ. Рабочая станция может обратиться к файл-серверу с запросами на создание и удаление каталогов, создание, открытие и закрытие файлов, чтение и запись в файлы, переименование и удаление файлов, поиск файлов, получение и установку файловых атрибутов, блокирование записей.
-
Сервис печати. Рабочая станция может ставить файлы в очередь для печати на сервере и получать информацию об очереди печати.
-
Сервис сообщений. SMB поддерживает простую передачу сообщений со следующими функциями: послать простое сообщение; послать широковещательное сообщение; послать признак начала блока сообщений; послать текст блока сообщений; послать признак конца блока сообщений; переслать имя пользователя; отменить пересылку; получить имя машины. Из-за
большого
количества
приложений,
которые
используют
функции
API,
предоставляемые NetBIOS, во многих сетевых ОС эти функции реализованы в виде интерфейса к своим транспортным протоколам. В NetWare имеется программа, которая эмулирует функции NetBIOS на основе протокола IPX, существуют программные эмуляторы NetBIOS для Windows NT/2000/2003 и стека TCP/IP. 1.3.4 Стек протоколов TCP/IP Стек протоколов TCP/IP, называемый также стеком Internet, является одним из наиболее популярных и перспективных стеков коммуникационных протоколов. Так как стек TCP/IP был разработан до появления модели ВОС ISO, то, хотя он также имеет многоуровневую структуру, соответствие уровней стека TCP/IP уровням модели ВОС достаточно условно. Структура протоколов TCP/IP приведена на рисунке 1.7. Протоколы TCP/IP делятся на 4 уровня.
22
Рис. 1.7. Стек протоколов TCP / IP Самый нижний (уровень IV) - уровень межсетевых интерфейсов - соответствует физическому и канальному уровням модели ВОС. Этот уровень в стеке TCP/IP не регламентируется, но поддерживает все популярные стандарты физического и канального уровня: для локальных сетей это Ethernet, Token Ring, FDDI, для распределенных сетей - собственные протоколы работы на аналоговых коммутируемых и выделенных линиях SLIP/PPP, которые устанавливают соединения типа "точка - точка" через последовательные каналы глобальных сетей, и протоколы территориальных сетей X.25 и ISDN. Разработана также специальная спецификация, определяющая использование технологии ATM в качестве транспорта канального уровня. Следующий уровень (уровень III) - это уровень межсетевого взаимодействия, который занимается передачей пакетов с использованием различных локальных сетей, территориальных сетей X.25, линий специальной связи и т. п. В качестве основного протокола сетевого уровня (в терминах модели ВОС) в стеке используется протокол IP, который изначально проектировался как протокол передачи пакетов в составных сетях, состоящих из большого количества локальных сетей, объединенных как локальными, так и глобальными связями. Поэтому протокол IP хорошо работает в сетях со сложной топологией, рационально используя наличие в них подсистем и экономно расходуя пропускную способность низкоскоростных линий связи. Протокол IP является дейтаграммным протоколом, то есть, протоколом, не гарантирующим доставку пакета получателю. К уровню межсетевого взаимодействия относятся и все протоколы, связанные с составлением и модификацией таблиц маршрутизации, такие как протоколы сбора маршрутной информации RIP (Routing Internet Protocol) и OSPF (Open Shortest Path First), а также протокол
23 межсетевых управляющих сообщений ICMP (Internet Control Message Protocol). Последний протокол предназначен для обмена информацией об ошибках между маршрутизатором и шлюзом, системой-источником и системой-приемником, то есть для организации обратной связи. С помощью специальных пакетов ICMP сообщается о невозможности доставки пакета, о превышении времени жизни или продолжительности сборки пакета из фрагментов, об аномальных величинах параметров, об изменении маршрута пересылки и типа обслуживания, о состоянии системы и т.п. Следующий уровень (уровень II) называется основным. На этом уровне функционируют протокол управления передачей TCP (Transmission Control Protocol) и протокол дейтаграмм пользователя UDP (User Datagram Protocol). Протокол TCP обеспечивает устойчивое виртуальное соединение между удаленными прикладными процессами. Протокол UDP обеспечивает передачу прикладных пакетов дейтаграммным методом, то есть без установления виртуального соединения, и поэтому требует меньших накладных расходов, чем TCP. Верхний уровень (уровень I) называется прикладным. За долгие годы использования в сетях различных стран и организаций стек TCP/IP накопил большое количество протоколов и сервисов прикладного уровня. К ним относятся такие широко используемые протоколы, как протокол управления сетевыми устройствами SNMP, протокол передачи файлов FTP, протокол эмуляции терминала telnet, почтовый протокол SMTP, используемый в электронной почте сети Internet, гипертекстовые сервисы доступа к удаленной информации, такие как HTTP (протокол передачи гипертекстовых сообщений). Протокол SNMP (Simple Network Management Protocol) используется для организации сетевого управления. Проблема управления разделяется здесь на две задачи. Первая задача связана с передачей информации. Протоколы передачи управляющей информации определяют процедуру взаимодействия сервера с программой-клиентом, работающей на хосте администратора. Они определяют форматы сообщений, которыми обмениваются клиенты и серверы, а также форматы имен и адресов. Вторая задача связана с контролируемыми данными. Стандарты регламентируют, какие данные должны сохраняться и накапливаться в шлюзах, имена этих данных и синтаксис этих имен. В стандарте SNMP определена спецификация информационной базы данных управления сетью. Эта спецификация, известная как база данных MIB (Management Information Base), определяет те элементы данных, которые хост или шлюз должен сохранять, и допустимые операции над ними. Протокол передачи файлов FTP (File Transfer Protocol) реализует удаленный доступ к файлам. Для того, чтобы обеспечить надежную передачу, FTP использует в качестве транспорта протокол с установлением соединений - TCP. Кроме пересылки файлов, протокол FTP предлагает и другие услуги. Так, пользователю предоставляется возможность интерактивной работы с
24 удаленной машиной, например, он может распечатать содержимое ее каталогов, FTP позволяет пользователю указывать тип и формат передаваемых данных. Наконец, FTP выполняет аутентификацию пользователей. Прежде, чем получить доступ к файлу, в соответствии с протоколом пользователи должны сообщить свое имя и пароль. Протокол передачи гипертекстовых сообщений HTTP (Hyper Text Transfer Protocol) реализует удаленный доступ к гипертекстовой информации. Протокол HTTP является основным протоколом доступа к информации, хранящейся на Web-ресурсах в глобальной сети Internet. В качестве примера рассмотрим, какие протоколы стека TCP/IP задействованы при доступе пользователя (клиента Internet) при доступе к Web-серверу по коммутируемой линии. 1.4 Основные компоненты современных ИТС 1.4.1 Канал передачи данных Канал передачи данных (обмена данными) - средства двустороннего обмена данными, представляющими собой совокупность оконечной аппаратуры (канального уровня) и линий передачи данных (физического уровня). Назначение - реализация функций обмена данными между компонентами ИТС с использованием линий передачи данных (среды передачи данных) различного типа. Реализуемые уровни стека протоколов эталонной модели ВОС: физический; канальный. Реализуемые уровни стека протоколов TCP/IP: канальный. Реализуемые протоколы: Физический уровень: различные типы среды передачи данных, например, коаксиальный кабель, витая пара, оптоволоконный кабель, радиоэфир и т.п. Канальный уровень: Ethernet - протокол передачи данных в ЛВС с архитектурой "Общая шина". Использует способ доступа к среде передачи CSMA/CD (Carrier Sense Multiply Access with Collision Detection) – множественный доступ с контролем несущей и обнаружением столкновений; Fast Ethernet – версия Ethernet для сетей со скоростью передачи 100 Мбит/с; FDDI – протокол передачи данных по волоконно-оптическим каналам со скоростью передачи 100 Мбит/с;
25 Frame Relay – протокол высокоскоростной передачи данных в глобальных сетях с коммутацией пакетов; SLIP – протокол передачи данных по коммутируемым линиям связи; PPP - протокол передачи данных по коммутируемым линиям связи. 1.4.2 Устройство коммутации пакетов Устройство коммутации пакетов (Switch, Switched Hub, коммутатор) - устройство, используемое для установления связи между двумя узлами ЛВC на протоколе канального уровня. Switched Hub (коммутирующий хаб) - дальнейшее развитие технологии Ethernet, повышающее производительность работы сети. В этом случае управление доступом к среде практически переносится с устройств доступа к сети в центральное коммутирующее
устройство,
обеспечивающее установление виртуальных выделенных каналов между парами портов источниками и получателями пакетов. Устройство коммутации пакетов делит общую среду передачи данных на логические сегменты. Логический сегмент образуется путем объединения нескольких физических сегментов (отрезков кабеля) с помощью одного или нескольких концентраторов. Каждый логический сегмент подключается к отдельному порту устройства коммутации. При поступлении пакета на какой-либо из портов устройство коммутации повторяет этот пакет, но не на всех портах, как это делает концентратор (хаб), а только на том порту, к которому подключен сегмент, содержащий компьютер-адресат. От узлов-передатчиков устройства коммутации почти всегда готово принять пакет либо в свой буфер, либо практически без задержки передать его в порт назначения. Используя обмен данными между собой через устройство коммутации, компьютеры не будут загружать общий трафик сети. Такие устройства также применяются для соединения между собой сетей Ethernet и Fast Ethernet. Реализуемые уровни стека протоколов эталонной модели ВОС: канальный. Реализуемые уровни стека протоколов TCP/IP: канальный. Реализуемые протоколы: Канальный уровень: Ethernet, Fast Ethernet.
26 1.4.3 Устройство маршрутизации пакетов Устройство маршрутизации пакетов (маршрутизатор, router) - устройство, объединяющее вместе две или более ЛВС и передающее сетевые пакеты между ними с обеспечением выбора маршрута передачи пакетов. Устройство маршрутизации - устройство, отвечающее за принятие решений о выборе одного из нескольких путей передачи сетевого трафика. Для выполнения этой задачи используются протоколы маршрутизации, позволяющие задавать/получать информацию о сети и реализующие алгоритмы выбора наилучшего пути на основе нескольких критериев Реализуемые уровни стека протоколов эталонной модели ВОС: сетевой. Реализуемые уровни стека протоколов TCP/IP: сетевой. Реализуемые протоколы: IP (Internet Protocol)- протокол сетевого уровня стека TCP/IP, отвечающий за передачу и маршрутизацию сообщений между узлами распределенной сети; RIP (Routing Information Protocol) – протокол динамического обмена данными о расположении маршрутизаторов в сети (стек TCP/IP); OSPF (Open Shortest Path First) – протокол маршрутизации с выбором кратчайшего маршрута (стек TCP/IP). 1.4.4 Сервер локальной вычислительной сети Сервер ЛВС - компьютер, реализующий функции управления доступом к разделяемым ресурсам ЛВС и выполнения прикладных программ (в т.ч. серверов приложений). Файловый сервер (ФС) - тип сервера, обеспечивающий хранение в разделяемых каталогах файлов пользователей ЛВС и доступ к ним с рабочих станций сети. Принт-сервер – компьютер в сети, обеспечивающий пользователям доступ и совместное пользование одним или несколькими подключенными к нему принтерами. Сервер удаленного доступа – компьютер, обеспечивающий доступ пользователей к разделяемым ресурсам ЛВС по коммутируемым каналам через модемы. Реализуемые уровни стека протоколов эталонной модели ВОС: все. Реализуемые уровни стека протоколов TCP/IP: все. Реализуемые протоколы: Стек IPX/SPX (в сетях с ОС Novell Netware).
27 Канальный уровень: все протоколы. Сетевой уровень: IPX – протокол сетевого уровня в сетях с ОС Novell Netware; RIP – протокол обмена маршрутной информацией в сетях с ОС Novell Netware; NLSP – протокол обмена маршрутной информацией в сетях с ОС Novell Netware. Транспортный уровень SPX – протокол транспортного уровня в сетях с ОС Novell Netware. Сеансовый, представления, прикладной: NCP (NetWare Core Protocol) – протокол взаимодействия сервера NetWare и оболочки рабочей станции. SAP (Service Advertising Protocol) - протокол объявления о сервисе. Стек Netbios/SMB (в сетях с ОС Windows). Канальный уровень: все протоколы. Сетевой, транспортный, сеансовый: NetBIOS - протокол сетевого, транспортного и сеансового уровня в сетях Microsoft. Прикладной: SMB – протокол взаимодействия рабочей станции с сервером в сетях Microsoft. Стек TCP/IP (в сетях с ОС Unix, Windows). Канальный уровень: все протоколы. Сетевой уровень: IP (Internet Protocol)- протокол сетевого уровня стека TCP/IP, отвечающий за передачу и маршрутизацию сообщений между узлами распределенной сети. Транспортный уровень: TCP
(Transmission Control Protocol)
–
протокол
транспортного
уровня
стека TCP/IP,
гарантирующий доставку передаваемых сообщений; UDP (User Datagram Protocol) - протокол транспортного уровня стека TCP/IP, не обеспечивающий гарантированную доставку передаваемых сообщений. Прикладной уровень: NFS – протокол сетевой файловой системы.
28 1.4.5 Рабочая станция локальной вычислительной сети Рабочая станция (РС) ЛВС - персональный компьютер, используемый для доступа к разделяемым ресурсам ЛВС и выполнения прикладных программ пользователя (в т.ч. клиентов серверов приложений). Реализуемые уровни стека протоколов эталонной модели ВОС: все Реализуемые уровни стека протоколов TCP/IP: все Реализуемые протоколы: Стек IPX/SPX (в сетях с ОС Novell Netware). Канальный уровень: все протоколы. Сетевой уровень: IPX, RIP, NLSP. Транспортный уровень: SPX. Сеансовый, представления, прикладной: NCP, SAP. Стек Netbios/SMB (в сетях с ОС Windows). Канальный уровень: все протоколы. Сетевой, транспортный, сеансовый: NetBIOS. Прикладной: SMB. Стек TCP/IP (в сетях с ОС Unix). Канальный уровень: все протоколы. Сетевой уровень: IP. Транспортный уровень: TCP, UDP. Прикладной уровень: NFS.
29 1.4.6 Модель клиент-сервер Модель клиент-сервер - общий способ описания услуг и модель пользовательских приложений (программ) для этих услуг. Предполагает наличие клиента – компьютера или приложения (программы), запрашивающего услуги, ресурсы, данные или обработку у другого приложения или компьютера, а также сервера – компьютера или приложения, предоставляющего услуги (сервисы), ресурсы или данные клиентскому приложению или компьютеру. Принято различать серверы приложений общего назначения и специализированные. Сервер приложений общего назначения – сервер приложений, предназначенный для выполнения разнообразных задач или функций, реализуемых в виде отдельных приложений, разработанных с использованием специализированных инструментальных средств. Специализированный сервер приложений – сервер приложений, предназначенный для выполнения одной задачи или функции. Тонкий клиент – клиент сервера приложений
с ограниченными функциями
и
вычислительными ресурсами. Толстый
клиент
-
клиент
сервера
приложений
с
избыточными
функциями
и
вычислительными ресурсами. 1.4.7 Сервер приложений общего назначения Реализуемые уровни стека протоколов эталонной модели ВОС: сеансовый – прикладной (остальные реализованы сервером ЛВС). Реализуемые уровни стека протоколов TCP/IP: Прикладной. Реализуемые протоколы: определяются производителем, например: DCOM (Distributed Component Object Model)- стандарт Microsoft, описывающий правила создания и взаимодействия программных объектов в клиент-серверных приложениях на базе объектноориентированной технологии; SOAP – протокол XML-сообщений с использованием протокола HTTP. 1.4.8 Клиент сервера приложений общего назначения Клиент сервера приложений - программа, запрашивающая услуги, ресурсы, данные у другой программы или компьютера. Реализуемые уровни стека протоколов эталонной модели ВОС: сеансовый – прикладной (остальные реализованы рабочей станцией ЛВС).
30 Реализуемые уровни стека протоколов TCP/IP: прикладной. Реализуемые протоколы: определяются производителем, например: DCOM, SOAP. В зависимости от реализации различают: - толстый клиент – приложение, требующее для своей работы избыточных вычислительных ресурсов; - тонкий клиент – приложение, требующее для своей работы минимальных вычислительных ресурсов. 1.4.9 Специализированные серверы приложений и их клиенты 1.4.9.1 Сервер системы управления базой данных База данных (БД) - совокупность данных, организованная по определенным правилам, предусматривающим общие принципы описания, хранения, манипулирования данными и независимая от прикладных программ. Система управления БД (СУБД) - совокупность программ и языковых средств, предназначенных для создания баз данных, поддержания их в актуальном состоянии и организации доступа к ним. Сервер СУБД – сервер приложений, обеспечивающий взаимодействие программ-клиентов с СУБД. Реализуемые уровни стека протоколов эталонной модели ВОС: сеансовый - прикладной (остальные реализованы сервером ЛВС). Реализуемые уровни стека протоколов TCP/IP: прикладной. Реализуемые протоколы: SQL – язык структурированных запросов к БД; JAWA – объектно-ориентированный язык создания платформенно-независимых клиент-серверных приложений. Примеры: MS SQL, Oracle, Informix, Sybase, DB2.
31 1.4.9.2 Клиент системы управления базой данных Клиент СУБД - программа, обеспечивающая пользователю доступ к данным, хранящимся в БД, путем поддержки взаимодействия с сервером СУБД. Реализуемые уровни стека протоколов эталонной модели ВОС: сеансовый - прикладной (остальные реализованы рабочей станцией ЛВС). Реализуемые уровни стека протоколов TCP/IP: прикладной. Реализуемые протоколы: SQL, JAWA. Может реализовываться как в виде толстого клиента, так и в виде тонкого клиента. 1.4.9.3 Сервер системы электронной почты Система электронной почты (ЭП) – система передачи текстовых или графических сообщений (сообщений ЭП) между компьютерами с использованием вычислительных сетей. Сервер системы ЭП – сервер приложений, реализующий функции управления пересылкой сообщений ЭП между пользователями и/или хранением этих сообщений. Реализуемые уровни стека протоколов эталонной модели ВОС: сеансовый - прикладной (остальные реализованы сервером ЛВС). Реализуемые уровни стека протоколов TCP/IP: прикладной. Реализуемые протоколы: X.400 – протокол взаимодействия в системах электронной почты (стек ISO/OSI); SMTP – протокол пересылки и маршрутизации сообщений между серверами электронной почты в Internet; IMAP – протокол доступа клиентов к серверам электронной почты (создание, доступ, управление сообщениями на сервере); POP3 - протокол доступа клиентов к серверам электронной почты (создание, доступ, управление сообщениями на сервере). 1.4.9.4 Клиент системы электронной почты Клиент системы ЭП – приложение, функционирующее на компьютере пользователя и управляющее созданием, отправкой и приемом сообщений ЭП. Реализуемые уровни стека протоколов эталонной модели ВОС: сеансовый - прикладной (остальные реализованы рабочей станцией ЛВС).
32 Реализуемые уровни стека протоколов TCP/IP: прикладной. Реализуемые протоколы: X.400, SMTP, IMAP, POP3. Как правило, реализуется в виде тонкого клиента. 1.4.9.5 Web-сервер Web-сервер - сервер приложений, обеспечивающий пользователям сети Internet (или любой другой сети со стеком протоколов TCP/IP) доступ к HTML-документам, связанным между собой гипертекстовыми ссылками. Особый вид Web-сервера представляет собой Proxy-сервер (сервер-посредник)- программа кэширования ответов на посылаемые к Web-серверам запросы с целью сокращения времени отклика и уменьшения сетевого трафика в случае повторного получения аналогичного запроса. Реализуемые уровни стека протоколов эталонной модели ВОС: сеансовый - прикладной (остальные реализованы сервером ЛВС). Реализуемые уровни стека протоколов TCP/IP: прикладной (остальные реализованы сервером ЛВС). Реализуемые протоколы: HTTP – протокол передачи гипертекстовых документов между Web-серверами и Webклиентами. 1.4.9.6 Web-клиент Web-клиент - программа, используемая для доступа к Web-серверам с целью просмотра ресурсов Internet. Реализует прием HTML-документов и форматирование их для представления пользователю. Реализуемые уровни стека протоколов эталонной модели ВОС: сеансовый - прикладной (остальные реализованы рабочей станцией ЛВС). Реализуемые уровни стека протоколов TCP/IP: прикладной (остальные реализованы рабочей станцией ЛВС). Реализуемые протоколы: HTTP. Как правило, реализуется в виде тонкого клиента.
33 1.5 Основные типы архитектур современных ИТС Архитектура ИТС – инженерно-техническая структура ИТС, включающая интерфейсы, аппаратное и программное обеспечение. 1.5.1 Файл-серверная архитектура Файл-серверная
архитектура
-
архитектура
ИТС
(рис.
1.8),
предполагающая
централизованное хранение обрабатываемых данных на ФС ЛВС и их децентрализованный ввод и обработку в приложениях, функционирующих на РС ЛВС. Файловый сервер
Рабочая станция
...
Рабочая станция
Рис. 1.8. Файл-серверная архитектура Особенности файл-серверной архитектуры с точки зрения обработки информации: все данные сохраняются на разделяемых ресурсах ФС, вся обработка выполняется на РС. Достоинства: наиболее простая реализация. Недостатки: сложность обеспечения синхронизации доступа при вводе/изменении данных; высокие требования к производительности РС и к пропускной способности ЛВС; сложность изменения логики обработки (необходимо изменять программные средства на всех РС). Примеры: 1С – Бухгалтерия и т.п. (системы, функционирующие на платформе современных сетевых ОС типа Novell Netware, MS Windows, Unix). Используемые компоненты ИТС: сервер ЛВС, рабочая станция ЛВС, устройства коммутации, каналы передачи данных (при использовании удаленного доступа пользователей). Используемые
протоколы
взаимодействия
между
компонентами:
все
протоколы,
реализуемые в используемых компонентах. 1.5.2 Клиент-серверная архитектура 1.5.2.1 Двухуровневая клиент-серверная архитектура Двухуровневая клиент-серверная архитектура - архитектура ИТС, предполагающая централизованное хранение и обработку данных в серверах приложений и децентрализованный доступ к данным и результатам их обработки с использованием программ-клиентов, которые
34 могут реализовывать интерфейс с пользователем и определенные функции обработки данных (толстый клиент) либо только интерфейс с пользователем (тонкий клиент). 1.5.2.1.1 Локализованная двухуровневая клиент-серверная архитектура
Сервер приложений
Клиент сервера приложений
...
Клиент сервера приложений
Рис. 1.9. Локализованная двухуровневая клиент-серверная архитектура Особенности локализованной двухуровневой клиент-серверной архитектуры (рис. 1.9) с точки зрения обработки информации: все данные сохраняются и обрабатываются централизованно в одном сервере приложений, возможна ограниченная децентрализованная обработка данных (если клиентское приложение реализовано в виде толстого клиента). Достоинства:
легкость
обеспечения
синхронизации
доступа
к
данным
при
их
вводе/модификации; возможность легкого изменения логики обработки данных, реализуемой серверными приложениями; более низкие требования к пропускной способности каналов ЛВС. Недостатки: высокие требования к производительности сервера приложений (в силу совмещения функций управления хранением и обработкой данных). Примеры: системы типа "клиент – сервер СУБД", построенные с использованием современных СУБД; системы доступа к внутрикорпоративным Web-ресурсам (Intranet); внутрикорпоративные системы электронной почты и электронного документооборота и т.п. Используемые компоненты ИТС: сервер ЛВС, рабочая станция ЛВС, сервер приложений, клиент сервера приложений, сервер СУБД, клиент СУБД, серверы ЭП, клиенты серверов ЭП, Web-серверы,
Web-клиенты,
устройства
коммутации,
каналы
передачи
данных
(при
использовании удаленного доступа пользователей). Используемые
протоколы
взаимодействия
реализуемые в используемых компонентах.
между
компонентами:
все
протоколы,
35 1.5.2.1.2 Распределенная двухуровневая клиент-серверная архитектура
Сеть передачи данных
Сервер приложений
Клиент сервера приложений
...
Сервер приложений
Клиент сервера приложений
Клиент сервера приложений
...
Клиент сервера приложений
Рис. 1.10. Распределенная двухуровневая клиент-серверная архитектура Особенности распределенной двухуровневой клиент-серверной архитектуры (рис. 1.10) с точки зрения обработки информации: все данные сохраняются и обрабатываются централизованно в серверах приложений, взаимодействующих между собой по каналам сети передачи данных (репликация данных), клиенты получают доступ к данным через "свой" сервер приложений, возможна ограниченная децентрализованная обработка данных (если клиентское приложение реализовано в виде толстого клиента). Достоинства: возможность обеспечения доступа к накопленным данным из территориально удаленных ЛВС; возможность относительно легкого изменения логики обработки данных, реализуемой серверными приложениями; более низкие требования к пропускной способности каналов ЛВС. Недостатки: высокие требования к производительности сервера приложений (в силу совмещения функций управления хранением и обработкой данных); высокие требования к пропускной способности каналов передачи данных между ЛВС; сложность обеспечения быстрой "репликации" данных между серверами приложений с целью обеспечения доступа всех пользователей к "актуальным" данным. Примеры: системы типа "клиент – сервер СУБД", построенные с использованием современных СУБД, допускающих распределенную обработку; системы доступа к глобальным Web-ресурсам (Internet); электронная почта Internet; корпоративные системы электронной почты и электронного документооборота крупных корпораций с разветвленной сетью филиалов и т.п.
36 Используемые компоненты ИТС: сервер ЛВС, рабочая станция ЛВС, сервер приложений, клиент сервера приложений, сервер СУБД, клиент СУБД, серверы ЭП, клиенты серверов ЭП, Web-серверы, Web-клиенты, устройства коммутации, устройства маршрутизации, каналы передачи данных. Используемые
протоколы
взаимодействия
между
компонентами:
все
протоколы,
реализованные в используемых компонентах. 1.5.2.2 Трехуровневая архитектура "Клиент – сервер приложений – сервер СУБД" Трехуровневая архитектура "Клиент – сервер приложений – сервер СУБД" - архитектура ИТС, предполагающая централизованное хранение и обработку данных с разделением функций хранения (в серверах СУБД) и обработки (в серверах приложений), а также децентрализованный доступ к результатам обработки данных с использованием программ-клиентов, которые могут реализовывать интерфейс с пользователем и определенные функции обработки (толстый клиент) либо только интерфейс с пользователем (тонкий клиент). 1.5.2.2.1 Локализованная трехуровневая архитектура "Клиент – сервер приложений – сервер СУБД" Сервер СУБД
Сервер приложений
Клиент сервера приложений
...
Клиент сервера приложений
Рис. 1.11. Локализованная трехуровневая архитектура "Клиент – сервер приложений – сервер СУБД" Особенности локализованной трехуровневой архитектуры "Клиент – сервер приложений – сервер СУБД" (рис. 1.11) с точки зрения обработки информации: все данные сохраняются централизованно в БД на одном сервере СУБД и обрабатываются централизованно в одном сервере приложений, возможна ограниченная децентрализованная обработка результатов (толстый клиент).
37 Достоинства: легкость обеспечения синхронизации доступа к данным при их вводе/модификации; возможность легкого изменения логики обработки данных, реализуемой серверными приложениями; более низкие требования к пропускной способности каналов ЛВС (между клиентами и сервером приложений); более низкие требования к производительности сервера приложений и сервера СУБД; отсутствие необходимости приобретения большого количества лицензий для доступа к серверу СУБД. Недостатки: высокие требования к пропускной способности канала ЛВС между сервером приложений и сервером СУБД. Примеры: современные системы, построенные на базе MS Application Server, MS SharePoint Server. Используемые компоненты ИТС: сервер ЛВС, рабочая станция ЛВС, сервер приложений, клиент сервера приложений, сервер СУБД, клиент СУБД, устройства коммутации, каналы передачи данных (при использовании удаленного доступа пользователей). Используемые
протоколы
взаимодействия
между
компонентами:
все
протоколы,
реализуемые в указанных компонентах. 1.5.2.2.2 Распределенная трехуровневая архитектура "Клиент – сервер приложений – сервер СУБД"
Сеть передачи данных
Клиент сервера приложений
Сервер СУБД
Сервер СУБД
Сервер приложений
Сервер приложений
...
Клиент сервера приложений
Клиент сервера приложений
...
Клиент сервера приложений
Рис. 1.12. Распределенная трехуровневая архитектура "Клиент – сервер приложений – сервер СУБД"
38 Особенности распределенной трехуровневой архитектуры "Клиент – сервер приложений – сервер СУБД" (рис. 1.12) с точки зрения обработки информации: все данные сохраняются централизованно в распределенной БД, реализованной с использованием совокупности взаимодействующих между собой по каналам сети передачи данных серверов СУБД или серверов приложений (репликация данных); обработка данных реализована в серверах приложений, каждый из которых взаимодействует со "своим" сервером СУБД. Клиенты получают доступ к результатам обработки данных через "свой" сервер приложений, возможна ограниченная децентрализованная обработка (толстый клиент). Достоинства: возможность обеспечения доступа к накопленным данным из территориально удаленных ЛВС; возможность относительно легкого изменения логики обработки данных, реализуемой серверными приложениями; более низкие требования к пропускной способности каналов ЛВС (между клиентами и серверами приложений); более низкие требования к производительности серверов приложений и серверов СУБД; отсутствие необходимости приобретения большого количества лицензий для доступа к серверам СУБД. Недостатки: высокие требования к пропускной способности каналов ЛВС между серверами приложений и серверами СУБД; высокие требования к пропускной способности каналов передачи данных между ЛВС; сложность обеспечения быстрой "репликации" данных между серверами СУБД или серверами приложений с целью обеспечения доступа всех пользователей к "актуальным" данным. Примеры: современные системы, построенные на базе MS Application Server, MS SharePoint Server. Используемые компоненты ИТС: сервер ЛВС, рабочая станция ЛВС, сервер приложений, клиент сервера приложений, сервер СУБД, клиент СУБД, устройства коммутации, устройства маршрутизации, каналы передачи данных. Используемые
протоколы
взаимодействия
реализуемые в указанных компонентах.
между
компонентами:
все
протоколы,
39 2 ОБЩИЕ ПРИНЦИПЫ (КОНЦЕПЦИЯ) ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ В ИТС 2.1 Основные свойства информации и подход к обеспечению защиты информации в ИТС 2.1.1 Понятие защищенности информации в ИТС Информационные ресурсы государства или общества в целом, а также отдельных организаций
и
физических
лиц
представляют
собой
определенную
ценность,
имеют
соответствующее материальное выражение и требуют защиты от различных по своей сути воздействий, которые могут привести к снижению ценности информационных ресурсов. То есть, по сути, информация, обрабатываемая в ИТС, является критическим ресурсом, информационным активом, требующим принятия мер по ее защите от потенциальных опасностей типа нежелательного или неоправданного распространения, изменения или потери. Воздействия, которые приводят к реализации потенциальных опасностей, ведущих к снижению ценности информационных
ресурсов,
называются
неблагоприятными.
Потенциально
возможное
неблагоприятное воздействие называется угрозой. Понятие "защищенность информации" (безопасность информации) как раз и отражает такое состояние информации, в котором обеспечена ее защита от возможных неблагоприятных воздействий. Защищенность
информации
связана
с
защитой
активов
от
угроз,
где
угрозы
классифицированы на основе потенциала злоупотребления защищаемыми активами. Во внимание следует принимать все разновидности угроз, но в сфере обеспечения защищенности информации в ИТС наибольшее внимание уделяется тем из них, которые связаны с действиями человека, злонамеренными или иными. Рис. 2.1 иллюстрирует высокоуровневые понятия защищенности и их взаимосвязь. За сохранность информационных активов отвечают их владельцы, для которых эти активы имеют ценность. Существующие или предполагаемые нарушители также могут придавать значение этим активам и стремиться использовать их вопреки интересам их владельца. Владельцы должны воспринимать подобные угрозы как потенциал воздействия на активы, приводящего к понижению их ценности для владельца. К специфическим нарушениям защищенности обычно относят (но не обязательно ими ограничиваются): наносящее ущерб раскрытие информационного актива
несанкционированным
получателем
(потеря
конфиденциальности),
ущерб
информационному активу вследствие несанкционированной модификации (потеря целостности) или несанкционированное лишение возможности доступа к информационному активу (потеря доступности).
40
Владельцы
оценивают
хотят минимизировать предпринимают чтобы уменьшить контрмеры которые которые могут направлены на быть уменьшены уязвимости могут знать которые используют ведущие к
риск
которые для повышают Источники угроз (нарушители)
активы
порождают для угрозы хотят злоупотребить и/или могут нанести ущерб Рис. 2.1. Высокоуровневые понятия защищенности и их взаимосвязь Владельцы активов анализируют возможные угрозы, чтобы решить, какие из них действительно присущи среде их ИТС. В результате анализа определяются риски. Анализ может помочь при выборе контрмер (мер обеспечения защищенности) для противостояния угрозам и уменьшения рисков до приемлемого уровня. Меры обеспечения защищенности предпринимают для уменьшения уязвимостей и защиты от возможных угроз. Но и после реализации этих мер могут сохраняться остаточные уязвимости. Такие уязвимости могут использоваться нарушителями, представляя уровень остаточного риска для активов. Владельцы должны стремиться минимизировать этот риск, задавая дополнительные ограничения. 2.1.2 Основные свойства информации с точки зрения обеспечения ее защищенности Защищенность информации (безопасность информации) – состояние информации, в котором обеспечивается сохранение определенных установленными правилами таких свойств информации, как конфиденциальность, целостность и доступность.
41 Конфиденциальность информации – свойство информации, состоящее в том, что информация не может быть получена неавторизованным пользователем и/или процессом. Иными словами, информация сохраняет конфиденциальность, если соблюдаются установленные правила ознакомления с ней. Целостность информации – свойство информации, состоящее в том, что информация не может быть модифицирована неавторизованным пользователем и/или процессом. Иными словами, информация сохраняет целостность, если соблюдаются установленные правила ее модификации (удаления). Доступность информации – свойство информации, состоящее в том, что, обладающий соответствующими полномочиями пользователь и/или процесс, может использовать информацию в соответствии с установленными правилами, не ожидая дольше заданного (малого) промежутка времени, т.е., когда она находится в виде, необходимом пользователю, в месте, необходимом пользователю, и в то время, когда она ему необходима. Иными словами, информация сохраняет доступность, если сохраняется возможность ознакомления с ней или ее модификации в соответствии с установленными правилами в течение любого определенного (малого) промежутка времени. Защищенность информации в ИТС – состояние информации, обрабатываемой в ИТС, в котором обеспечивается сохранение (в требуемом установленными правилами объеме) таких ее свойств, как конфиденциальность, целостность и доступность. 2.1.3 Общий подход к обеспечению защищенности информации в ИТС и основные этапы его реализации Деятельность, направленная на обеспечение защищенности (безопасности) информации, обрабатываемой в ИТС, называется защитой информации. Защита информации, обрабатываемой в ИТС, заключается в создании и поддержании в работоспособном состоянии системы как технических
(инженерных,
программно-аппаратных),
так
и
нетехнических
(правовых,
организационных) мер, позволяющих предотвратить или затруднить возможность реализации угроз, а также снизить потенциальный ущерб в случае их реализации. Другими словами, защита информации направлена на обеспечение защищенности обрабатываемой информации и ИТС в целом, т.е. такого состояния, в котором сохраняются заданные свойства информации и ИТС, ее обрабатывающей. Система указанных мер, обеспечивающая защиту информации в ИТС, называется системой защиты информации (СЗИ). Обычно в процессе построения СЗИ в ИТС выделяют следующие этапы: 1. Анализ ИТС как объекта защиты и определение защищаемых информационных ресурсов. Разработка политики безопасности информации, обрабатываемой в ИТС.
42 2. Анализ потенциальных угроз информации в ИТС. 3. Анализ и оценка рисков, связанных с реализацией угроз информации в ИТС. 4. Выбор контрмер (мер противодействия) и реализация набора мероприятий по обеспечению защиты информации в ИТС. 5. Оценка эффективности СЗИ в ИТС. 6. Сопровождение СЗИ в ИТС (поддержание СЗИ в работоспособном состоянии в течение всего жизненного цикла ИТС). 2.2 Анализ ИТС как объекта защиты 2.2.1 Анализ ИТС как объекта защиты, определение защищаемых информационных ресурсов, разработка политики безопасности информации, обрабатываемой в ИТС Под политикой безопасности информации следует понимать набор законов, правил, ограничений, рекомендаций и т.д., регламентирующих порядок обработки информации и направленных на защиту информации от определенных угроз. Термин "политика безопасности" может быть применен к организации, ИТС, компонентам ИТС, реализуемой системой услуге (набору функций) и т.д. Чем мельче объект, по отношению к которому применяется данный термин, тем более конкретными и формальными становятся правила. Политика безопасности информации в ИТС является частью общей политики безопасности организации и может наследовать, в частности, положения государственной политики в области защиты информации. Для каждой ИТС политика безопасности информации может быть индивидуальной и зависеть от реализуемой технологии обработки информации, особенностей ИТС, физической среды и многих других факторов. Более того, одна и та же ИТС может реализовывать несколько различных технологий обработки информации. Тогда и политика безопасности информации в такой ИТС будет составной и ее части, соответствующие различным технологиям, могут существенно отличаться. Политика безопасности должна определять: 1) информационные ресурсы ИТС, нуждающиеся в защите, в частности устанавливать категории обрабатываемой информации; 2) основные угрозы для информации, обрабатываемой в ИТС и требования к защите от этих угроз. Как составные части общей политики безопасности информации в ИТС должны существовать политики обеспечения конфиденциальности, целостности и доступности обрабатываемой информации; 3) ответственность персонала за выполнение положений политики безопасности.
43 Часть политики безопасности, регламентирующая правила доступа пользователей и процессов к ресурсам ИТС, составляет правила разграничения доступа (ПРД). Для того, чтобы правильно сформулировать ПРД, необходимо провести соответствующий анализ порядка взаимодействия пользователя с информационными ресурсами в процессе функционирования ИТС. Рассмотрим основные понятия, с использованием которых, в соответствии с действующими нормативными
документами
(НД)
системы
технической
защиты
информации
(ТЗИ),
формулируются ПРД. ИТС, как правило, состоит из множества компонентов. Некоторые из компонентов могут быть специально предназначены для реализации функций защиты (например, средства изоляции процессов или управления потоками информации). Другие могут влиять на защищенность информации опосредованно, например, обеспечивать функционирование компонентов первого типа. И, наконец, третьи могут вообще не быть задействованы при решении задач обеспечения защищенности. Множество всех компонентов первых двух типов называется комплексом средств защиты. Комплекс средств защиты (КСЗ) — это совокупность программно-аппаратных средств, обеспечивающих реализацию политики безопасности информации. Любой компонент ИТС, который вследствие какого-либо воздействия способен вызвать нарушение принятой политики безопасности, должен рассматриваться как часть КСЗ. КСЗ рассматривает ресурсы ИТС в качестве объектов и управляет взаимодействием этих объектов в соответствии с реализуемой политикой безопасности информации. В качестве объектов ресурсы характеризуются двумя аспектами: логическое представление (содержание, семантика, значение) и физическое (форма, синтаксис). Объект характеризуется своим состоянием, которое в свою очередь характеризуется атрибутами и поведением, определяющим способы изменения состояния. Для различных ИТС объекты могут быть различны. Например, для СУБД в качестве объектов можно рассматривать записи БД, а для операционной системы — процессы, файлы, кластеры, секторы дисков, сегменты памяти и т.д. Все, что подлежит защите в соответствии с политикой безопасности, должно быть определено как объект. При рассмотрении взаимодействия двух объектов ИТС, которые выступают как приемники или источники информации, следует выделить пассивный объект, над которым выполняется операция, и активный объект, который выполняет или инициирует эту операцию. В НД ТЗИ рассматриваются следующие типы объектов ИТС: объекты-пользователи, объекты-процессы и пассивные объекты. Принятый в некоторых зарубежных документах термин "субъект" является суперпозицией объекта-пользователя и объекта-процесса. Объекты-пользователи и объекты-процессы являются таковыми только внутри конкретного домена — изолированной логической области, внутри которой объекты обладают определенными
44 свойствами, полномочиями и сохраняют определенные отношения. В других доменах объекты остаются в пассивном состоянии. Это позволяет одному объекту-процессу управлять другим объектом-процессом
или
даже
объектом-пользователем,
поскольку
последний
остается
"пассивным" с точки зрения управляющего объекта. Другими словами, объекты могут находиться в одном из трех различных состояний: объект-пользователь, объект-процесс и пассивный объект. Переход между состояниями означает, что объект просто рассматривается в другом контексте. Пассивный объект переходит в состояние объекта-пользователя, когда индивидуум (физическое лицо - пользователь) "входит" в систему. Этот объект-пользователь выступает для КСЗ в качестве образа физического пользователя. Обычно, за этим процессом следует активизация объекта-процесса по инициативе пользователя. Этот объект-процесс является управляющим для пассивных объектов внутри домена пользователя. Объекты-пользователи, объекты-процессы и пассивные объекты далее обозначаются просто как пользователи, процессы и объекты соответственно. Взаимодействие двух объектов ИТС (обращение активного объекта к пассивному с целью получения определенного вида доступа) приводит к появлению потока информации между объектами и/или изменению состояния системы. В качестве потока информации рассматривается любая порция информации, передаваемая между объектами ИТС. 2.2.2 Классы ИТС согласно НД ТЗИ Цель введения классификации ИТС — облегчение задачи соотнесения требований к КСЗ СЗИ в ИТС с характеристиками ИТС. ИТС представляет собой организационно-техническая систему, реализующую определенную технологию
обработки
информации
(информационную
технологию)
и
объединяющую
совокупность программно-аппаратных средств, предназначенных для обработки информации, обмена информацией и взаимодействия между компонентами, физическую среду, персонал и обрабатываемую информацию. Требования к функциональному составу КСЗ СЗИ в ИТС зависят от характеристик всех указанных составляющих. В действующем НД ТЗИ НД ТЗИ 2.5 - 005-99 "Классификация автоматизированных систем и стандартные функциональные профили защищенности обрабатываемой информации от несанкционированного доступа" по совокупности характеристик ИТС (конфигурация аппаратных средств и их физическое размещение, количество различных категорий обрабатываемой информации, количество пользователей и категорий пользователей) выделено три иерархических класса ИТС, требования к функциональному составу КСЗ СЗИ в которых существенно отличаются.
45 Класс "1" — одномашинный однопользовательский комплекс, в котором обрабатывается информация одной или нескольких категорий конфиденциальности. Существенные особенности: -
в каждый момент времени с комплексом может работать только один пользователь, хотя в общем случае лиц, имеющих доступ к комплексу, может быть несколько, но все они должны иметь одинаковые полномочия (права) по доступу к обрабатываемой информации;
-
технические средства (носители информации и средства ввода/вывода) с точки зрения защищенности относятся к одной категории и все могут использоваться для хранения и/или В/В всей информации. Пример — автономная персональная электронная вычислительная машина (ЭВМ), доступ к
которой контролируется с использованием организационных мер. Класс "2" — локализованный многомашинный многопользовательский комплекс, в котором обрабатывается информация разных категорий конфиденциальности. Существенное отличие от предыдущего класса — наличие пользователей с разными полномочиями по доступу к информации и/или технических средств, которые могут одновременно осуществлять обработку информации разных категорий конфиденциальности. Пример — ИТС на базе ЛВС. Класс "3" — распределенный многомашинный многопользовательский комплекс, в котором обрабатывается информация разных категорий конфиденциальности. Существенное отличие от предыдущего класса — необходимость передачи информации через незащищенную среду или в общем случае наличие узлов, реализующих различную политику безопасности. Пример — ИТС на базе распределенной сети. Внутри каждого класса ИТС классифицируются на основании требований к обеспечению определенных свойств информации. С точки зрения защищенности информация характеризуется тремя свойствами: конфиденциальностью, целостностью и доступностью. В связи с этим, в каждом классе ИТС выделяются следующие подклассы: -
системы,
в
которых
выдвигаются
повышенные
требования
к
обеспечению
конфиденциальности обрабатываемой информации (подклассы "x.К"); -
системы, в которых выдвигаются повышенные требования к обеспечению целостности обрабатываемой информации (подклассы "x.Ц");
-
системы, в которых выдвигаются повышенные требования к обеспечению доступности обрабатываемой информации (подклассы "x.Д");
-
системы,
в
которых
выдвигаются
повышенные
требования
к
обеспечению
конфиденциальности и целостности обрабатываемой информации (подклассы "x.КЦ");
46 -
системы,
в
которых
выдвигаются
повышенные
требования
к
обеспечению
конфиденциальности и доступности обрабатываемой информации (подклассы "x.КД"); -
системы, в которых выдвигаются повышенные требования к обеспечению целостности и доступности обрабатываемой информации (подклассы "x.ЦД");
-
системы,
в
которых
выдвигаются
повышенные
требования
к
обеспечению
конфиденциальности, целостности и доступности обрабатываемой информации (подклассы "x.КЦД"). Такая классификация полезна для облегчения выбора перечня функций, которые должен реализовывать КСЗ проектируемой или существующей ИТС. Данный подход позволяет минимизировать затраты на начальных этапах создания СЗИ ИТС. Однако следует признать, что для создания КСЗ, наиболее полно отвечающего характеристикам и требованиям к конкретной ИТС, необходимо проведение в полном объеме анализа угроз и оценки рисков. 2.3 Анализ потенциальных угроз информации в ИТС Этап анализа возможных угроз информации в ИТС необходим для фиксации на определенный момент времени состояния ИТС (конфигурации аппаратных и программных средств, реализуемой технологии обработки информации) и определения потенциально возможных неблагоприятных воздействий на каждый компонент системы и обрабатываемую в нем информацию. Обеспечить защиту информации от всех возможных неблагоприятных воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации, поэтому надо выбрать из всего множества возможных неблагоприятных воздействий лишь те, которые могут реально произойти и нанести ущерб информационным активам.
2.3.1 Понятие угрозы информации. Угрозы конфиденциальности, целостности, доступности информации Воздействия, которые приводят к реализации потенциальных опасностей, ведущих к снижению ценности информационных ресурсов, называются неблагоприятными. Потенциально возможное неблагоприятное воздействие называется угрозой. Угроза информации - любые обстоятельства или события, которые могут быть причиной нарушения политики безопасности информации и/или нанесения ущерба ИТС. Поскольку, с точки зрения защищенности информации принято выделять три ее основных свойства: конфиденциальность, целостность и доступность, то угрозы, реализация которых
47 приводит к потере информацией какого-либо из названных свойств, соответственно называются угрозами конфиденциальности, целостности или доступности информации. Результаты реализации угрозы могут воздействовать на информацию как непосредственно, так и опосредованно. Например, потеря ИТС управляемости может привести к неспособности ИТС обеспечивать защиту информации и, как результат, к потере определенных свойств обрабатываемой информации. Попытка реализации угрозы называется атакой. 2.3.2 Классификации угроз информации Угрозы обрабатываемой в ИТС информации зависят от характеристик ВС, физической среды, персонала и обрабатываемой информации. Угрозы могут иметь либо объективную природу, например, изменение условий физической среды (пожары, наводнения и т.п.) или отказ элементов ВС, либо субъективную, например, ошибки персонала или действия злоумышленника. Угрозы, имеющие субъективную природу, могут быть случайными либо преднамеренными. Идентификация угроз (определение множества угроз, реализация которых возможна в конкретной ИТС) предполагает рассмотрение источников воздействий и последствий реализации угроз, а также их классификацию. Все источники угроз информации, обрабатываемой в конкретной ИТС, можно разделить на три основные группы: -
угрозы, обусловленные действиями субъекта (антропогенные);
-
угрозы, обусловленные техническими средствами (техногенные);
-
угрозы, обусловленные стихийными источниками. Первая группа самая обширная, представляет наибольший интерес с точки зрения
организации защиты от угроз данного типа, так как действия субъекта всегда можно оценить, спрогнозировать и принять адекватные меры. Методы и меры противодействия этим угрозам (контрмеры) управляемы и напрямую зависят от разработчиков СЗИ. Субъекты, действия которых могут привести к нарушению защищенности информации, могут быть как внешние: -
криминальные структуры;
-
недобросовестные партнеры;
-
конкуренты;
-
политические противники;
так и внутренние: -
персонал организации. По результатам международного и отечественного опыта, действия субъектов могут
привести к ряду нежелательных последствий, среди которых можно выделить следующие:
48 1. Кража: -
технических средств ИТС;
-
носителей информации;
-
информации;
-
средств доступа к информации.
2. Подмена (модификация): -
операционных систем;
-
систем управления базами данных;
-
прикладных программ;
-
информации (данных), отрицание фактов отправки сообщений;
-
паролей и атрибутов доступа.
3. Уничтожение (разрушение): -
технических средств ИТС;
-
носителей информации;
-
программного обеспечения;
-
информации;
-
паролей и ключевой информации.
4. Нарушение нормальной работы: -
снижение скорости обработки информации;
-
снижение пропускной способности каналов связи;
-
уменьшение объемов свободной оперативной памяти;
-
уменьшение объемов свободного дискового пространства;
-
нарушение электропитания технических средств.
5. Ошибки: -
при инсталляции программного обеспечения (ПО), ОС, СУБД;
-
при написании прикладного ПО;
-
при эксплуатации ПО;
-
при эксплуатации технических средств.
6. Перехват информации: -
за счет побочного электромагнитного излучения (ПЭМИ) от технических средств;
-
за счет наводок по линиям электропитания;
-
за счет наводок по посторонним проводникам;
-
по акустическому каналу от средств вывода;
-
по акустическому каналу при обсуждении вопросов;
-
при подключении к каналам передачи информации;
49 -
за счет нарушения установленных правил доступа (взлом). Вторая группа содержит угрозы, менее прогнозируемые, напрямую зависящие от свойств
техники и поэтому требующие особого внимания. Технические средства, содержащие каналы реализации потенциальных угроз защищенности информации, также могут быть внутренними: -
некачественные технические средства обработки информации;
-
некачественные программные средства обработки информации;
-
вспомогательные средства (охраны, сигнализации, телефонии);
-
другие технические средства, применяемые в организации;
и внешними: -
средства связи;
-
близко расположенные опасные производства;
-
сети инженерных коммуникаций (энерго-, водоснабжения, канализации);
-
транспорт. Последствиями применения таких технических средств, напрямую влияющими на
защищенность информации, могут быть: 1. Нарушение нормальной работы: -
нарушение работоспособности средств обработки информации;
-
нарушение работоспособности каналов передачи данных;
-
старение носителей информации и средств ее обработки;
-
нарушение установленных правил доступа;
-
электромагнитное воздействие на технические средства.
2. Уничтожение (разрушение): -
программного обеспечения, ОС, СУБД;
-
средств обработки информации;
-
помещений;
-
информации;
-
персонала.
3. Модификация (изменение): -
программного обеспечения, ОС, СУБД;
-
информации при передачи по каналам передачи данных. Третью группу составляют угрозы, которые совершенно не поддаются прогнозированию и
поэтому меры для их предотвращения должны применяться, по возможности, всегда, но не обязательно к ИТС как к объекту защиты, а шире, ко всем элементам технической инфраструктуры
предприятия
или
организации.
Стихийные
источники,
составляющие
потенциальные угрозы защищенности информации, как правило, являются внешними по
50 отношению к рассматриваемому объекту, под ними понимаются, прежде всего, природные катаклизмы: -
пожары;
-
землетрясения;
-
наводнения;
-
ураганы;
-
другие форс-мажорные обстоятельства;
-
различные непредвиденные обстоятельства;
-
необъяснимые явления. Эти природные и необъяснимые явления также влияют на защищенность информации,
опасны для всех элементов ИТС и могут привести к таким последствиям: 1. Уничтожение (разрушение): -
технических средств обработки информации;
-
носителей информации;
-
программного обеспечения;
-
информации (файлов данных);
-
помещений;
-
персонала.
2. Исчезновение (пропажа): -
информации в средствах обработки;
-
информации при передаче по каналам передачи данных;
-
носителей информации;
-
персонала. С учетом указанных источников воздействий, последствий и целей реализации угроз
можно
выделить
такие
основные
классификационные
признаки
угроз
информации,
обрабатываемой в ИТС: -
область поражения (угрозы для ИТС, ее подсистем и элементов; угрозы для предметных областей информационного обеспечения - субъектов и объектов пользования; угрозы для всей социальной системы, исходящие от ИТС);
-
связь определенной социальной системы с ИТС (внешние; внутренние - идущие от социальной системы и ее элементов; внутрисистемные - исходящие от самой ИТС);
-
сила
воздействия
на
область
поражения
(разрушительные;
дестабилизирующие;
парализующие; стимулирующие); -
организационная форма выражения и степень социальной опасности (коллизии; конфликты; проступки; преступления; аварии; катастрофы);
51 -
свойства информации, к нарушению которых может привести угроза (нарушение конфиденциальности
информации;
нарушение
целостности
информации;
нарушение
доступности информации). 2.3.3 Модель потенциального нарушителя в ИТС Угрозы информации в ИТС реализуются нарушителями с использованием различных уязвимостей системы. Уязвимость системы - неспособность системы противостоять попыткам реализации определенной угрозы или совокупности угроз (атакам). Для ограничения множества потенциально возможных угроз и способов их реализации (выбора тех из них, которые могут быть реализованы в условиях конкретной ИТС) важно корректно определить модель потенциального нарушителя. Модель нарушителя — абстрактное формализованное или неформализованное описание нарушителя. При определении модели нарушителя необходимо классифицировать всех потенциальных нарушителей в ИТС на категории по их возможностям доступа к системе и, следовательно, по возможностям использования тех или иных уязвимостей системы и наносимому ущербу. В действующих НД ТЗИ в качестве нарушителя рассматривается лицо, которое может получить доступ к работе со всеми включенными в состав ИТС средствами. Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами ИТС. Выделяется четыре уровня этих возможностей. Классификация является иерархической, т.е. каждый последующий уровень включает в себя функциональные возможности предыдущего: -
первый уровень определяет самый низкий уровень возможностей ведения диалога в ИТС — возможность запуска фиксированного набора задач (программ), реализующих заранее предусмотренные функции по обработке информации;
-
второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации;
-
третий уровень определяется возможностью управления функционированием ИТС, т.е. воздействием на базовое программное обеспечение системы, а также на состав и конфигурацию ее оборудования;
-
четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт аппаратных компонентов ИТС, вплоть до включения в состав ИТС собственных средств с новыми функциями по обработке информации. Предполагается, что в своем уровне нарушитель — это специалист высшей квалификации,
имеющий полную информацию об ИТС и КСЗ.
52 Такая классификация нарушителей является полезной для использования в процессе оценки рисков, анализа уязвимости системы, эффективности существующих и планируемых мер защиты. На ее основе можно (при необходимости, с уточнениями, учитывающими специфику конкретной ИТС) ограничить круг потенциальных нарушителей и их возможностей. 2.3.4
Характеристика
основных
способов
реализации
угроз
информации
в
современных ИТС Попытка реализации угрозы информации тем или иным способом называется атакой. Известны следующие основные классификационные признаки способов реализации угроз информации (атак): -
цель воздействия на информацию (нарушение конфиденциальности информации; нарушение целостности информации; нарушение доступности информации);
-
характер воздействия на ИТС (активное воздействие; пассивное воздействие);
-
причина появления в ИТС используемой уязвимости (неадекватность реализуемой политики безопасности особенностям реальной ИТС; ошибки административного управления; ошибки, допущенные на этапе проектирования; ошибки, допущенные на этапе реализации);
-
способ воздействия на объект атаки (с непосредственным воздействием на объект атаки; с воздействием на систему прав доступа; с опосредованным воздействием);
-
используемый для атаки компонент ИТС;
-
используемые средства атаки (стандартное программное обеспечение или технические средства; специально разработанное программное обеспечение или технические средства);
-
состояние объекта атаки (объект атаки, находящийся в состоянии хранения; объект атаки, находящийся в состоянии передачи; объект атаки, находящийся в состоянии обработки);
-
уровень стека протоколов, на котором осуществляется воздействие (физический; канальный; сетевой; транспортный; сеансовый; представления данных; прикладной). 2.3.5 Характеристика наиболее распространенных способов реализации угроз
информации, обрабатываемой в ИТС 2.3.5.1 Несанкционированный доступ Несанкционированный доступ (НСД, unauthorized access) - наиболее распространенный способ реализации угроз информации в ИТС. Он заключается в получении пользователем такого вида доступа к объекту, на который у него нет разрешения в соответствии с принятой в организации политикой безопасности.
53 Методика реализации НСД в значительной мере зависит от организации обработки информации в ИТС, принятой политики безопасности, возможностей используемых средств защиты, а также добросовестности администраторов и пользователей. В подавляющем большинстве случаев НСД становится возможным из-за непродуманного выбора средств защиты, их некорректной установки и настройки, контроля их функционирования, а также при небрежном отношении к защите своих собственных данных. По характеру воздействия НСД является активным воздействием, использующим любую ошибку в системе. НСД относится обычно непосредственно к требуемому информационному объекту, либо воздействует на информацию о санкционированном доступе с целью легализации НСД. НСД может быть осуществлен как стандартными, так и специально разработанными программными средствами и к информационным объектам в любом состоянии. В таблице 2.1 приведена классификация атак с использованием НСД по следующим классификационным признакам: цель воздействия на информацию; компонент ИТС, уязвимости которого используются для атаки; уровень стека протоколов, на котором осуществляется атака. Таблица 2.1. Классификация атак с использованием НСД
ФС ЛВС 1 Несанкционированный доступ к данным с целью их просмотра/ модификации/ удаления 2 Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения 3 Несанкционированный запуск программных средств 4 Несанкционированное получение прав доступа. РС ЛВС 5 6 7
Несанкционированный доступ к данным с целью их просмотра/ модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный запуск программных средств
Прикладной
Транспортный
Сетевой
+
Канальный
+
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+
+
+
+
+ +
+ +
+ +
+ +
+
+
+
+
+
+
+
+
+
+
54
Сервер системы ЭП 8 Несанкционированный доступ к данным с целью их просмотра/ модификации/ удаления 9 Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Клиент системы ЭП 10 Несанкционированный доступ к данным с целью их просмотра/ модификации/ удаления 11 Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения 12 Несанкционированное использование средств электронной почты Сервер СУБД 13 Несанкционированное использование ресурсов базы данных. 14 Несанкционированное манипулирование данными в базе данных 15 Несанкционированное манипулирование программами в базе данных Клиент СУБД 16
+
+
Прикладной
Транспортный
+
+
+
+ +
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+ + +
+
20
Несанкционированный доступ к данным с целью их просмотра/ модификации/ удаления 21 Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения 22 Несанкционированное получение прав доступа. Клиент сервера приложений
+
23 24
+
+
Несанкционированное использование ресурсов базы данных. 17 Несанкционированная модификация записи БД 18 Несанкционированное уничтожение записи БД 19 Несанкционированное изменение программного обеспечения Сервер приложений
Несанкционированный доступ к данным с целью их просмотра/ модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения
Сетевой
+
Канальный
+
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + +
+
+
+
+
+
+
+
+
+
+
+
+
+ +
+ +
+
55
+
26
+
+
Несанкционированный доступ к данным с целью их просмотра/ модификации/ удаления 27 Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения 28 Несанкционированное получение прав доступа. Web-клиент
Прикладной
+
Транспортный
+
Сетевой
25 Несанкционированное получение прав доступа Web-сервер
Канальный
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ +
+
+
+
+
+
+
+
Несанкционированный доступ к данным с целью их + просмотра/ модификации/ удаления 30 Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения 31 Несанкционированное получение прав доступа. + Средства маршрутизации пакетов сетевых протоколов
+
29
32 33
Несанкционированный доступ к данным с целью их просмотра/ модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения
+
+
+
+
+
+
+
+
+ +
+ +
+ +
2.3.5.2 Незаконное использование привилегий Практически
любая
защищенная
система
содержит
средства,
используемые
в
чрезвычайных ситуациях, или средства, которые способны функционировать с нарушением существующей политики безопасности. В некоторых случаях пользователь должен иметь возможность доступа ко всем наборам данных системы (например, при необходимости выполнения резервного копирования). Такие средства необходимы, но они могут быть чрезвычайно опасными. Обычно эти средства используются администраторами, операторами, системными программистами и другими пользователями, выполняющими специальные функции. Для того, чтобы уменьшить риск от применения таких средств, большинство систем защиты реализует указанные функции с использованием специальных атрибутов доступа (привилегий) - для выполнения определенной функции требуется определенная привилегия. В этом случае каждый пользователь получает свой набор привилегий, обычные пользователи -
56 минимальный, администраторы - максимальный (в соответствии с принципом минимума привилегий). Таким образом, незаконный захват и использование привилегий могут привести к возможности несанкционированного выполнения определенной функции. Это может быть НСД (частный случай), запуск определенных программ и даже реконфигурация системы. Незаконный захват и использование привилегий возможны либо при наличии ошибок в самой системе защиты (что, например, оказалось возможным в одной из версий UNIX), либо в случае халатности при управлении системой и привилегиями в частности (например, при назначении расширенного набора привилегий всем пользователям). Нарушения, совершаемые путем незаконного использования привилегий, являются активным воздействием, использующим любую ошибку, совершаемым с целью доступа к какомулибо пассивному объекту, процессу или системе в целом. В таблице 2.2 приведена классификация атак с использованием незаконного использования привилегий по следующим классификационным признакам: цель воздействия на информацию; компонент ИТС, уязвимости которого используются для атаки; уровень стека протоколов, на котором осуществляется атака. Таблица 2.2. Классификация атак с помощью незаконного использования привилегий Уровень стека TCP/IP
+
+
+
2
Незаконное использование административных привилегий Web-сервер 3 Незаконное использование административных привилегий Сервер СУБД
+
+
+
+
+
+
+
+
4
+
+
+
+
Прикладной
+
Транспортный
Незаконное использование административных привилегий Сервер приложений
Сетевой
1
Канальный
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
ФС ЛВС
Незаконное использование административных привилегий
57 2.3.5.3 Атаки "салями" Атаки "салями" более всего характерны для систем, обрабатывающих данные о состоянии финансовых счетов и, следовательно, наибольшую опасность такие нарушения представляют для ИТС банковских учреждений. Принцип атак "салями" построен на том факте, что при обработке данных о состоянии счетов используются целые единицы (центы, рубли, копейки), а при исчислении процентов нередко получаются дробные суммы. Причинами атак "салями" являются, во-первых, погрешности вычислений, позволяющие трактовать правила округления в ту или иную сторону, а во-вторых, огромные объемы вычислений, необходимые для обработки данных о состоянии счетов. Атака "салями" – активное воздействие, с опосредованным воздействием на объект атаки, использует ошибки, допущенные на этапе реализации системы, специально разработанное программное обеспечение. В
таблице
2.3
приведена
классификация
атаки
"салями"
по
следующим
классификационным признакам: цель воздействия на информацию; компонент ИТС, уязвимости которого используются для атаки; уровень стека протоколов, на котором осуществляется атака. Таблица 2.3. Классификация атаки "салями"
Сервер СУБД 1 Атака "салями"
+
Прикладной
Транспортный
Сетевой
Канальный
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+
2.3.5.4 Использование "Скрытых каналов" "Скрытые каналы" - способ получения информации за счет использования средств передачи или обработки информации, существующих в ИТС, но не управляемых КСЗ, или наблюдения за существующими потоками информации. Например, в ИТС с реализованным разграничением доступа к информации пользователь, не имея прав на получение интересующих его данных, может использовать для этого обходные пути. Практически любое действие в системе
58 каким-то образом затрагивает другие ее элементы, которые при этом могут изменять свое состояние. При знании этих связей можно хотя бы частично восстановить первопричину события. Атаки с использованием скрытых каналов по характеру воздействия являются пассивными: нарушение состоит только в доступе к передаваемой или обрабатываемой информации. Для организации "скрытых каналов" может использоваться как штатное программное обеспечение, так и специально разработанные программы. Атака обычно производится программным способом. В таблице 2.4 приведена классификация атак с использованием "скрытых каналов" по следующим классификационным признакам: цель воздействия на информацию; компонент ИТС, уязвимости которого используются для атаки; уровень стека протоколов, на котором осуществляется атака.
Таблица 2.4. Классификация атак с использованием "скрытых каналов" Цель воздействия
Транспортный
+
+
+
2 Анализ потока сообщений (трафика) Сервер СУБД
+
+
+
3 Анализ потока сообщений (трафика) 4 Статистическая идентификация записи Сервер приложений
+ +
+
+
5 Анализ потока сообщений (трафика) Web-сервер
+
+
+
6 Анализ потока сообщений (трафика) + Средства маршрутизации пакетов сетевых протоколов
+
+
7 Анализ потока сообщений (трафика) Средства коммутации пакетов
+
+
+
8
+
Канальный
Анализ потока сообщений (трафика) при обмене с РС- клиентами Сервер системы ЭП
Нарушение доступности
1
Нарушение целостности
Сетевой
Уровень стека TCP/IP
Прикладной
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
ФС ЛВС
Анализ трафика
+
+
+
59
Прикладной
Транспортный
Сетевой
Канальный
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
Канал передачи данных 9
Анализ трафика
+
+
2.3.5.5 "Маскарад" Под "маскарадом" (masquerade) понимается выполнение каких-либо действий одним пользователем ИТС от имени другого пользователя. При этом такие действия другому пользователю могут быть разрешены. Нарушение заключается в присвоении прав и привилегий. Цель "маскарада" - скрытие каких-либо действий за именем другого пользователя или присвоение прав и привилегий другого пользователя для доступа к его наборам данных или использования его привилегий. Примером "маскарада" может служить вход в систему под именем и паролем другого пользователя, при этом система не сможет распознать нарушение. В этом случае "маскараду" обычно предшествует взлом системы или перехват пароля (см. ниже). Другой пример "маскарада" - присвоение идентификатора другого пользователя в процессе работы. Это может быть сделано с помощью средств операционной системы (некоторые операционные системы позволяют изменять идентификатор пользователя в процессе работы) или с помощью программы, которая в определенном месте может изменить определенные данные, в результате чего пользователь получит другой идентификатор. В этом случае "маскараду" может предшествовать захват привилегий, или он может быть осуществлен с использованием какой-либо ошибки в системе. "Маскарадом" также называют передачу сообщений в сети от имени другого пользователя. Способы замены идентификатора могут быть разные, обычно они определяются ошибками и особенностями сетевых протоколов. Тем не менее, на приемной стороне такое сообщение будет воспринято как корректное, что может привести к серьезным нарушениям в работы системы. Особенно это касается управляющих сообщений, изменяющих конфигурацию сети, или сообщений, ведущих к выполнению привилегированных операций.
60 "Маскарад" - это способ активного нарушения защиты системы, он является опосредованным
воздействием,
то
есть воздействием,
совершенным
с использованием
возможностей других пользователей. В таблице 2.5 приведена классификация атак с использованием "маскарада" по следующим классификационным признакам: цель воздействия на информацию; компонент ИТС, уязвимости которого используются для атаки; уровень стека протоколов, на котором осуществляется атака. Таблица 2.5. Классификация атак с использованием "маскарада"
+
+
+
+
2
Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Клиент системы ЭП
+
+
+
+
3
Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Сервер СУБД
+
+
+
+
4
Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Сервер приложений
+
+
+
+
5
Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Web-сервер
+
+
+
+
6
+
+
+
+
Сетевой
Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Сервер системы ЭП
Канальный
1
Нарушение доступности
Прикладной
Уровень стека TCP/IP
Транспортный
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
ФС ЛВС
Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий)
61
+
+
Прикладной
+
Транспортный
+
Сетевой
+
Канальный
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
Средства маршрутизации пакетов сетевых протоколов 7
Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) 2.3.5.6 Атака типа "Сбор мусора"
"Сбор мусора" - атака, заключающаяся в захвате и анализе пользователем или процессом совместно используемых ресурсов, освобожденных другим пользователем или процессом, с целью получения содержавшейся в них информации. После окончания работы обрабатываемая информация не всегда полностью удаляется из памяти. Часть данных может оставаться в оперативной памяти, на дисках и других носителях. Данные хранятся на носителе до перезаписи или уничтожения, при выполнении этих действий на освободившемся пространстве диска находятся их остатки. Хотя при искажении заголовка файла их прочитать трудно, однако, используя специальные программы и оборудование, все же возможно. Такой процесс принято называть "сбором мусора" (disk scavenging, garbage collecting). Он может привести к раскрытию важной информации. "Сбор мусора" - активное, непосредственное воздействие на объекты ИТС при их хранении с использованием доступа. В таблице 2.6 приведена классификация атак с использованием "сбора мусора" по следующим классификационным признакам: цель воздействия на информацию; компонент ИТС, уязвимости которого используются для атаки; уровень стека протоколов, на котором осуществляется атака.
62 Таблица 2.6. Классификация атак с использованием "сбора мусора"
Прикладной
Транспортный
Сетевой
Канальный
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
ФС ЛВС 1
Несанкционированный доступ к данным с использованием "Сбора мусора"
РС ЛВС 2 Несанкционированный доступ к данным с использованием "Сбора мусора" Сервер системы ЭП 3 Несанкционированный доступ к данным с использованием "Сбора мусора" Сервер СУБД 4 Несанкционированный доступ к данным с использованием "Сбора мусора" Сервер приложений 5 Несанкционированный доступ к данным с использованием "Сбора мусора" Web-сервер 6 Несанкционированный доступ к данным с использованием "Сбора мусора"
+
+
+
+
+
+
+
+
+
+
+
+
2.3.5.7 Атака "Взлом системы" Под "взломом системы" (break-in) понимают умышленное проникновение в систему (успешное преодоление механизмов защиты системы) с несанкционированными параметрами входа, то есть псевдонимом пользователя и его паролем (паролями) или другими атрибутами входа. "Взлом системы" - умышленное, активное воздействие на систему в целом. Возможность взлома может быть обусловлена ошибками административного управления; ошибками, допущенные на этапе проектирования; ошибками, допущенные на этапе реализации. "Взлом системы" обычно происходит в интерактивном режиме.
63 Как правило, "взлом системы" осуществляется путем подбора или перехвата атрибутов входа пользователей в систему (паролей и других данных аутентификации). В таблице 2.7 приведена классификация атак с использованием "взлома системы" по следующим классификационным признакам: цель воздействия на информацию; компонент ИТС, уязвимости которого используются для атаки; уровень стека протоколов, на котором осуществляется атака. Таблица 2.7. Классификация атак с использованием "взлома системы"
Прикладной
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
10 Подбор/перехват паролей (данных аутентификации) + Средства маршрутизации пакетов сетевых протоколов 11 Подбор/перехват паролей (данных аутентификации) + Средства коммутации пакетов сетевых протоколов 12 Подбор/перехват паролей (данных аутентификации) +
+
+
+
+
+
+
+
+
+
+
+
+
+
+
9 Подбор/перехват паролей (данных аутентификации) Web-клиент
Сетевой
+
ФС ЛВС 1 Подбор/перехват паролей (данных аутентификации) РС ЛВС 2 Подбор/перехват паролей (данных аутентификации) Сервер системы ЭП 3 Подбор/перехват паролей (данных аутентификации) Клиент системы ЭП 4 Подбор/перехват паролей (данных аутентификации) Сервер СУБД 5 Подбор/перехват паролей (данных аутентификации) Клиент СУБД 6 Подбор/перехват паролей (данных аутентификации) Сервер приложений 7 Подбор/перехват паролей (данных аутентификации) Клиент сервера приложений 8 Подбор/перехват паролей (данных аутентификации) Web-сервер
Канальный
Транспортный
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
64 2.3.5.8 Использование вредоносных программ Под вредоносными программами в дальнейшем будем понимать такие программы, которые прямо или косвенно дезорганизуют процесс обработки информации или способствуют раскрытию или искажению информации. Ниже мы рассмотрим некоторые (самые распространенные) виды подобных программ: "троянский конь", компьютерный вирус, "жадная"
("разрушающая")
программа. "Троянский конь" — программа, которая, являясь авторизованным процессом, помимо выполнения документированных функций, способна осуществлять скрытые действия от лица авторизованного пользователя в интересах разработчика этой программы. По характеру воздействия использование программ типа "троянский конь" относится к активным атакам, реализуемым специально разработанными программными средствами, работающими в пакетном режиме. Эта атака может быть направлена против любого объекта ИТС, как путем непосредственного, так и опосредованного воздействия. Наиболее опасным является опосредованное воздействие, при котором программа "троянский конь" действует в рамках полномочий одного пользователя, но в интересах другого пользователя, установить которого порой невозможно. Компьютерный вирус (computer virus) — программа, обладающая способностью к самовоспроизведению и, как правило, способная осуществлять действия, которые могут нарушить функционирование ИТС и/или вызвать нарушение политики безопасности. Как и программы типа "троянский конь", компьютерные вирусы относятся к активным, специально разработанным программным средствам. Они могут угрожать любому объекту ИТС, как путем непосредственного, так и опосредованного воздействия. "Жадные" ("разрушающие") программы (greedy program) - это программы, которые в процессе своего выполнения стремятся монополизировать (либо вывести из строя) какой-либо ресурс системы, не давая другим программам возможности использовать его. Естественно, атака с использованием таких программ является активным вмешательством в работу системы. Непосредственной атаке обычно подвергаются такие объекты системы: процессор, оперативная память, устройства ввода-вывода, функционирующие приложения. На многих компьютерах функционируют фоновые программы, выполняющиеся с низким приоритетом. Они обычно производят большой объем вычислений, а результаты их работы требуются не так часто. Однако при повышении приоритета такая программа может использовать весь ресурс процессора и блокировать возможность работы всех остальных программ. Такая программа и будет "жадной". Тупиковая ситуация возникает, когда "жадная" программа бесконечна (например, исполняет заведомо бесконечный цикл). Однако во многих операционных системах существует
65 возможность ограничения времени процессора, используемого задачей. Это не относится к операциям, выполняющимся в зависимости от других программ, например, к операциям вводавывода, которые завершаются асинхронно по отношению к основной программе; время их выполнения не включается в счет времени основной программы. Перехватывая асинхронное сообщение о завершении операции ввода-вывода и посылая вновь запрос на новый ввод-вывод, можно добиться по-настоящему бесконечной программы. Такие атаки называют также асинхронными. Другой пример "жадной" программы - программа, захватывающая слишком большую область оперативной памяти. В оперативной памяти последовательно размещаются данные, например подкачиваемые с внешнего носителя. В конце концов, оперативная память может оказаться во владении одной программы, и выполнение других окажется невозможным или будет существенно замедлено. Обычно "жадные" программы осуществляют захват одного из трех основных ресурсов системы: процессорного времени, оперативной памяти, каналов ввода-вывода. Однако, возможен захват и любых других ресурсов системы, например блокирование ее работы путем создания ситуаций, приводящих к неустранимым ошибкам. В таблице 2.8 приведена классификация атак с использованием вредоносных программ по следующим классификационным признакам: цель воздействия на информацию; компонент ИТС, уязвимости которого используются для атаки; уровень стека протоколов, на котором осуществляется атака. Таблица 2.8. Классификация атак с использованием вредоносных программ
Транспортный
Прикладной
Сетевой
Канальный
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+
+
+ +
+ +
ФС ЛВС 1
Захват чрезмерного объема ресурсов
+
2 3
Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами
+ +
+ +
66
4 Атака типа "отказ в обслуживании" 5 Внедрение программ типа "троянский конь" 6 Внедрение компьютерных вирусов 7 Внедрение макро-вирусов. РС ЛВС 8 Внедрение программ типа "троянский конь" 9 Внедрение компьютерных вирусов 10 Внедрение макро-вирусов 11 Захват чрезмерного объема ресурсов Сервер системы ЭП
+
+ + +
+
+ + +
+ + +
+
+ + + +
+ + +
+ + +
+ +
+ +
+ + +
+ + + + + +
+ + +
+
+ +
+ + +
+ + +
23 24 25
Прикладной
Транспортный
Сетевой
+ + + +
+
Захват чрезмерного объема ресурсов Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами 15 Атака типа "отказ в обслуживании" 16 Перегрузка входящими сообщениями. Клиент системы ЭП
Захват чрезмерного объема ресурсов Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами 26 Атака типа "отказ в обслуживании" Клиент СУБД 27 Захват чрезмерного объема ресурсов Сервер приложений 28 Внедрение программ типа "троянский конь". 29 Внедрение компьютерных вирусов. 30 Внедрение макро-вирусов.
Канальный
+
12 13 14
17 Внедрение программ типа "троянский конь" 18 Внедрение компьютерных вирусов 19 Внедрение макро-вирусов 20 Перегрузка входящими сообщениями 21 Передача почтовых бомб 22 Захват чрезмерного объема ресурсов Сервер СУБД
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ +
+ + +
+ + +
+
+
+
+ + + +
67
Канальный
Прикладной
+ + +
Транспортный
Захват чрезмерного объема ресурсов Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами 34 Атака типа "отказ в обслуживании" 35 Несанкционированные действия с использованием активных компонентов (ActiveX компоненты, CGIскрипты и т.п.) Клиент сервера приложений
Сетевой
31 32 33
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ +
+ + +
+ + +
+
+
+ +
36 37 38 39
Внедрение программ типа "троянский конь" Внедрение компьютерных вирусов Внедрение макро-вирусов Несанкционированные действия с использованием активных компонентов (ActiveX компоненты, Java – апплеты и т.п.) Web-сервер
+
+ + + +
+
+ + + +
40 41 42 43 44 45
+
+ + +
+ + + + + +
Внедрение программ типа "троянский конь". Внедрение компьютерных вирусов. Внедрение макро-вирусов. Захват чрезмерного объема ресурсов Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами 46 Атака типа "отказ в обслуживании" 47 Несанкционированные действия с использованием активных компонентов (ActiveX компоненты, CGIскрипты и т.п.) Web-клиент
+
+ + + + +
+ + +
+
+
+ +
Внедрение программ типа "троянский конь". + Внедрение компьютерных вирусов. Внедрение макро-вирусов. Несанкционированные действия с использованием активных компонентов (ActiveX компоненты, Java – апплеты и т.п.). Средства маршрутизации пакетов сетевых протоколов
+ + + +
+ + + +
48 49 50 51
52
Захват чрезмерного объема ресурсов
+
+
+
+
68
55
Транспортный
+ +
+ +
+
Прикладной
Сетевой
+ +
Канальный
Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами Атака типа "отказ в обслуживании"
Уровень стека TCP/IP
Нарушение доступности
53 54
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+
2.3.5.9 Подмена данных Подмена данных – атака, приводящая к навязыванию ложных данных, результатом чего является нарушение целостности и достоверности обрабатываемой в ИТС информации. По характеру воздействия на ИТС - активное воздействие; по причине появления используемой уязвимости в ИТС - неадекватность реализуемой политики безопасности реальной ИТС; ошибки административного управления; ошибки, допущенные на этапе проектирования; ошибки, допущенные на этапе реализации; по способу воздействия на объект атаки - с непосредственным воздействием на объект атаки; по используемым средствам атаки - стандартное программное обеспечение; специально разработанное программное обеспечение; по состоянию объекта атаки - объект атаки, находящийся в состоянии хранения; объект атаки, находящийся в состоянии передачи; В таблице 2.9 приведена классификация атак с использованием подмены данных по следующим классификационным признакам: цель воздействия на информацию; компонент ИТС, уязвимости которого используются для атаки; уровень стека протоколов, на котором осуществляется атака.
69 Таблица 2.9. Классификация атак с использованием подмены данных
Прикладной
Транспортный
Сетевой
Канальный
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
ФС ЛВС 1 Отказ от факта ввода/модификации данных РС ЛВС
+
+
2 Отказ от факта ввода/модификации данных Сервер системы ЭП 3 Повтор перехваченных сообщений. 4 Искажение сообщения 5 Уничтожение сообщения 6 Навязывание ложного сообщения 7 Нарушение целостности потока сообщений 8 Искажение имени отправителя. Клиент системы ЭП 9 Повтор перехваченных сообщений 10 Отказ от факта передачи сообщения 11 Отказ от факта получения сообщения 12 Искажение имени отправителя Сервер СУБД 13 Нарушение целостности потока сообщений Клиент СУБД
+
+
+ + + + + +
+
+ + + + +
+
14 Отказ от факта ввода/изменения информации Сервер приложений
+
15 Нарушение целостности потока сообщений Клиент сервера приложений 16 Подмена IP-пакетов ( IP spoofing) 17 Подмена DNS-сообщений DNS spoofing Web-сервер
+
+
+ +
+
18 Нарушение целостности потока сообщений Web-клиент
+
+
19 Подмена IP-пакетов ( IP spoofing) 20 Подмена DNS-сообщений DNS spoofing Средства маршрутизации пакетов сетевых протоколов
+ +
+
21
+
+
Повтор перехваченных пакетов
+ + + + + +
+ + + + + +
+
+ + + +
+ + +
+ +
+
70
24
+
Повтор сообщений
+ +
+
Прикладной
Канальный
Транспортный
+ +
Сетевой
22 Подмена (навязывание) пакетов 23 Нарушение целостности потока сообщений Канал передачи данных
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+
2.3.5.10 Навязывание ложного маршрута Навязывание ложного маршрута - атака, приводящая к такому изменению маршрута передачи сообщений в ИТС, в результате которого становится возможным несанкционированный доступ к информации. По характеру воздействия на ИТС - активное воздействие; по причине появления используемой уязвимости в ИТС - неадекватность реализуемой политики безопасности реальной ИТС; ошибки административного управления; ошибки, допущенные на этапе проектирования; ошибки, допущенные на этапе реализации; по способу воздействия на объект атаки - с опосредованным воздействием; по используемым средствам атаки - стандартное программное обеспечение и оборудование, специально разработанное программное обеспечение и оборудование; по состоянию объекта атаки - объект атаки, находящийся в состоянии передачи. В таблице 2.10 приведена классификация атак с использованием навязывания ложного маршрута по следующим классификационным признакам: цель воздействия на информацию; компонент ИТС, уязвимости которого используются для атаки; уровень стека протоколов, на котором осуществляется атака.
71 Таблица 2.10. Классификация атак с использованием навязывания ложного маршрута
Прикладной
+ +
Транспортный
+
Сетевой
+
Канальный
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ +
+ +
+ +
+ +
+ + +
+
+ +
РС ЛВС 1 Подмена доверенного сервера ЛВС 2 Навязывание ложного сервера ЛВС Сервер системы ЭП 3 Переадресация сообщения 4 Искажение имени отправителя. 5 Несанкционированное изменение файлов псевдонимов и списков рассылки Клиент системы ЭП 6 Искажение имени отправителя 7 Несанкционированное изменение файлов псевдонимов и списков рассылки 8 Подмена доверенного почтового сервера 9 Навязывание ложного почтового сервера Клиент СУБД
+ +
+ +
+
+ +
+
+
+ +
+ +
+ +
+ +
10 Подмена доверенного сервера БД 11 Навязывание ложного сервера БД Клиент сервера приложений
+
+
+ +
+ +
+ +
+ +
12 Подмена доверенного сервера приложений 13 Навязывание ложного сервера приложений Web-клиент
+
+
+ +
+ +
+ +
+ +
14 Подмена доверенного Web-сервера + 15 Навязывание ложного Web-сервера Средства маршрутизации пакетов сетевых протоколов
+
+ +
+ +
+ +
+ +
+ +
+ + + + +
16 17 18 19 20
Внедрение ложного объекта Внедрение ложного маршрута Атаки с использованием маршрутизации источника. Атаки с использованием ICMP-протокола. Атаки с использованием протоколов управления маршрутизацией (RIP, OSPF). 21 Подмена DNS-сообщений (DNS spoofing) Средства коммутации пакетов 22
Разрыв канала передачи
+ +
+
+
+
+ +
+
+ +
+ +
72
+
+
24 25 26
+ +
+ + +
Разрыв канала передачи Перекоммутирование канала передачи Активная ретрансляция передаваемых данных
+
Прикладной
Канальный
23 Перекоммутирование канала передачи Канал передачи данных
Транспортный
Нарушение доступности
Уровень стека TCP/IP
Сетевой
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
2.3.5.11 Перехват сообщений Перехват сообщений – способ несанкционированного получения информации путем доступа к ней в транзитных узлах ИТС. Перехват сообщений - пассивное воздействие, вызываемое неадекватностью реализуемой политики безопасности реальной ИТС или ошибками на этапе проектирования/ реализации системы, по способу воздействия - с непосредственным воздействием на объект атаки, с использованием стандартного или специально разработанного программного обеспечения, по состоянию объекта атаки – с воздействием на объект атаки, находящийся в состоянии передачи. В таблице 2.11 приведена классификация атак с использованием перехвата сообщений по следующим классификационным признакам: цель воздействия на информацию; компонент ИТС, уязвимости которого используются для атаки; уровень стека протоколов, на котором осуществляется атака.
73 Таблица 2.11. Классификация атак с использованием перехвата сообщений
Транспортный
Прикладной
Сетевой
Канальный
Уровень стека TCP/IP
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+
+
Сервер системы ЭП 1 Перехват сообщения + Средства маршрутизации пакетов сетевых протоколов 2 Перехват пакетов Средства коммутации пакетов
+
3 Перехват передаваемых данных Канал передачи данных
+
+
4
+
+
Перехват передаваемых данных
+
+
2.4 Этапы и методы управления рисками, связанными с реализацией угроз информации в ИТС Создание СЗИ должно начинаться с анализа объекта защиты и возможных угроз. Прежде всего, должны быть определены подлежащие защите ресурсы ИТС (активы). На основании анализа угроз, существующих в системе уязвимостей, эффективности уже реализованных мер защиты для всех подлежащих защите ресурсов ИТС должны быть оценены риски. Риск представляет собой функцию вероятности реализации определенной угрозы, вида и величины нанесенного ущерба. Величина риска может быть выражена в денежном измерении либо в виде формальной оценки (высокий, низкий и т.п.). На основании проведенной работы должны быть выработаны меры защиты, претворение которых в жизнь позволило бы снизить уровень остаточного риска до приемлемого уровня. Итогом данного этапа работ должна стать сформулированная или скорректированная политика безопасности. В процессе проведения анализа риска должна быть сформирована основа для определения необходимых мер защиты. В частности, следует четко определить, что именно (какие информационные активы) нуждается в защите. Далее необходимо составить список возможных способов реализации угроз, оценить вероятность реализации (осуществления) каждой угрозы и
74 потенциальный ущерб, наносимый владельцам обрабатываемых в ИТС информационных активов в том случае, если угроза осуществится (включающий также затраты на защиту от нее). Результаты анализа рисков важны для последующего этапа – выбора мер противодействия (мер
защиты).
Предпринимаемые
меры защиты
должны
быть
адекватны вероятности
осуществления и ущербу от угрозы, то есть обеспечивать оптимальную защиту от нее. Для определения соответствующих мер защиты в ИТС должен использоваться системный подход. Решение, как обеспечить защиту, где реализовать защиту в ИТС, какими должны быть типы и мощность мер и средств защиты, т.е. определение соответствующего уровня защиты, требуемого для конкретной ИТС осуществляется посредством управления риском. Управление риском представляет собой процесс: - оценки возможных потерь, связанных с зависимостью технологии работы организации от использования средств ИТС; - анализа потенциальных угроз и уязвимых мест ИТС, которые влияют на оценки возможных потерь; - выбора оптимальных по цене мер и средств защиты, которые сокращают риск до приемлемого уровня. Имеется большое количество методологий управления риском, которые могут быть использованы. 2.4.1 Элементы управления риском Управление риском преследует две цели: измерение риска (оценка риска) и выбор соответствующих мер и средств защиты, сокращающих риск до приемлемого уровня (уменьшение риска). Проблемы, которые должны быть решены при оценке защищенности ИТС, включают: 1. Инф. активы (ценности) - Что должно быть защищено? 2. Угрозы - От чего необходимо защищать активы и какова вероятность того, что угроза реализуется? 3. Результаты воздействия угроз - Каковы будут непосредственные результаты реализации угрозы (например, раскрытие информации, модификация данных)? 4. Последствия - Каковы будут долгосрочные результаты реализации угрозы (например, ущерб репутации организации, потеря бизнеса)? 5. Меры защиты - Какие эффективные меры защиты (услуги безопасности и механизмы защиты) требуются для защиты ценностей? 6. Риск – Будет ли приемлем остаточный риск после реализации мер защиты?
75 Цель оценки риска состоит в том, чтобы определить риск для конкретной ИТС. Процесс оценки риска проводится в два шага. На первом шаге определяют границы ИТС для анализа, требуемую степень детализации описания ИТС при оценке и методологию, которая будет использоваться. На втором шаге проводится анализ риска. Анализ риска может быть разбит на идентификацию активов (ценностей), угроз и уязвимых мест, оценку вероятностей, и измерение риска. Цель минимизации риска состоит в том, чтобы применить эффективные меры защиты таким образом, чтобы остаточный риск в ИТС стал приемлем. Минимизация риска состоит из трех частей: определения тех областей, где риск является недопустимо большим; выбора наиболее эффективных средств защиты; оценивания мер защиты и определения , приемлем ли остаточный риск в ИТС. Могут быть выбраны различные методологии управления риском. Методология, изложенная ниже, состоит из семи стадий: Оценка риска 1. Определение степени детализации, границ анализа и методологии. 2. Идентификация и оценка активов (ценностей). 3. Идентификация угроз и определение вероятностей их реализации. 4. Измерение риска. Уменьшение риска (построение СЗИ) 5. Выбор соответствующих средств защиты. 6. Внедрение и испытания средств защиты. 7. Проверка остаточного риска. 2.4.2 Оценка риска Этап 1 - Определение степени детализации, границ и методологии На этом этапе определяется направление, в котором будут прилагаться усилия при управлении риском. Определяется, что из ИТС (граница) и с какой детальностью (степень детализации) должно рассматриваться в процессе управления риском. Граница будет определять те части ИТС, которые будут рассматриваться. Граница может включать ИТС в целом или части ИТС, такие, как каналы передачи данных, серверы, приложения, и т.д.. Факторами, которые будут определять положение границы при анализе, могут быть границы владения ИТС или управления ею. При управлении риском должна также быть определена степень детализации описания ИТС. Степень детализации можно представлять себе как сложность созданной логической модели всей ИТС или ее части, отражающую, в рамках заданной границы, глубину процесса управления риском. Степень детализации может отличаться для разных областей ИТС (в пределах заданной границы) и, как следствие, в ходе процесса управления риском будут использоваться их описания
76 различной детальности. Например, некоторые области могут рассматриваться в общем, или менее детально, в то время как другие области могут быть рассмотрены глубоко и очень детально. Для небольших ИТС граница может располагаться таким образом, что будет анализироваться вся ИТС, и в таком случае нужно определить согласованную степень детализации для всех частей ИТС. Для больших ИТС может быть принято решение учитывать при анализе только те области, которыми управляет организация, и определить степень детализации таким образом, чтобы учесть все области внутри границы. Однако в любом случае может потребоваться детальное описание процесса передачи данных, соединений с внешними сетями, и ряда приложений. Методология управления риском для ИТС может быть определена до определения границы и степени детализации. Если методология уже была определена, то может оказаться полезным перепроверить выбранную методологию с точки зрения соответствия заданной границе и степени детализации. Если же методология не выбрана, то граница и степень детализации могут оказаться полезными в отборе методологии, которая позволяет получить наиболее эффективные результаты. Этап 2 - Идентификация и оценка активов (ценностей) В ходе оценки активов выявляются и назначаются стоимости ценностям ИТС. Все части ИТС имеют стоимость, хотя некоторые более ценны, чем другие. Этот шаг дает первый признак тех областей, на которые нужно обратить особое внимание. Для ИТС, в которых обрабатывается большое количество информации, которая не может быть разумно проанализирована, может быть сделан начальный отбор активов. Определение и оценка активов позволяет первоначально разделить области на те, которые могут быть опущены при дальнейшем рассмотрении и на те, которые должны рассматриваться как высокоприоритетные. Для идентификации и оценки активов могут использоваться различные методы. Активы могут быть оценены на основании воздействий и последствий для организации. Оценка может включать не только стоимость восстановления активов, но также последствия для организации, которые наступят в случае раскрытия, искажения, разрушения или порчи ценности. Методология оценки риска должна определить, в каком виде представляются стоимости активов. Так как стоимость актива должна быть основана не только на стоимости восстановления, оценивание актива по большей части - субъективный процесс. Данная
методика
информационных
ресурсов
предполагает на
оценку
основании
количественных
опросов
сотрудников
показателей компании
ценности (владельцев
информации), то есть тех, кто может определить ценность информации, определить ее характеристики и степень критичности, исходя из фактического положения дел. На основе результатов
опроса
производится
оценивание
показателей
и
степени
критичности
информационных ресурсов для наихудшего варианта развития событий. Рассматривается
77 потенциальное
воздействие
на
бизнес-процесс
при
возможном
несанкционированном
ознакомлении с информацией, изменении информации, отказе от выполнения обработки информации, недоступности на различные сроки и разрушения. Процесс получения количественных показателей дополняется методиками оценивания информационных ресурсов с учетом факторов: -
безопасность персонала;
-
разглашение частной информации;
-
требования по соблюдению законодательных и нормативных положений;
-
ограничения, вытекающие из законодательства;
-
коммерческие и экономические интересы;
-
финансовые потери и нарушения в производственной деятельности;
-
общественные отношения;
-
коммерческая политика и коммерческие операции;
-
потеря репутации организации. Разрабатывается система показателей в балльных шкалах (пример; четырехбалльная (от 1
до 4), приведенная ниже). Таким образом, количественные показатели используются там, где это допустимо и оправдано, а качественные показателей; там, где количественные оценки затруднены, например, при угрозе человеческой жизни. Важно отметить, что, если оценка актива выполняется с учетом конечной цели процесса, то есть определения активов в терминах иерархии важности или критичности, более важным становится относительное сопоставление ценностей, чем назначение им "правильной" стоимости. Стоимость активов может быть представлена в терминах потенциальных потерь. Эти потери могут быть основаны на стоимости восстановления, потерях при непосредственном воздействии и последствий. Одна из самых простых методик оценки потерь для активов состоит в использовании качественного ранжирования на высокие, средние и низкие потери. Назначение чисел этим уровням (4= очень высокие, 3 = высокие, 2 = средние, и 1 = низкие) может помочь в процессе измерения риска. Одним из косвенных результатов процесса идентификации и оценки активов является то, что создается детальная конфигурация ИТС и функциональная схема ее использования. Эта конфигурация должна описывать подключенные аппаратные средства, главные используемые приложения, важную информацию, обрабатываемую в ИТС, а также то, как эта информация передается
через
компоненты
ИТС.
Степень
знания
конфигурации
ИТС
зависит
использовавшихся границ и степени детализации. Так, например, могут быть определены:
от
78 - конфигурация аппаратных средств - включающая серверы, автоматизированные рабочие места, ПК, периферийные устройства, соединения с распределенными сетями, схему кабельной системы, соединения с мостами или шлюзами и т.д.; - конфигурация программного обеспечения - включающая операционные системы серверов и рабочих
станций,
главное
прикладное
программное
обеспечение,
инструментальное
программное обеспечение, средства управления ИТС и программное обеспечение, находящееся в процессе разработки. Она должна также включать местоположение программного обеспечения в ИТС и указание мест, откуда к нему обычно осуществляется доступ; - конфигурация данных - включающая разделение данных на ряд типов (которое привязано к специфике задач, решаемых с помощью ИТС), обрабатываемых в ИТС, а также типы (категории) пользователей, получающих доступ к данным. Важно указать, откуда к данным обращаются, и где они хранятся и обрабатываются. Должно также быть уделено внимание критичности данных. После того, как закончено описание конфигурации ИТС, определение и оценка активов, должно быть получено вполне адекватное представление о том, из чего состоит ИТС и какие области ИТС должны защищаться. Этап 3 - Идентификация угроз и определение вероятностей их реализации Результатом этого этапа должно быть явное указание возможных потенциальных опасностей (угроз) обрабатываемой в ИТС информации (активам), вероятности того, что эти опасности могут быть реализованы и уязвимых мест ИТС, которые могут использоваться для реализации этих угроз. Список угроз, которые будут рассматриваться, зависит от установленных границ анализа риска и степени детализации описания ИТС. Концептуальный анализ может указать на абстрактные угрозы и уязвимые места; более детальный анализ может связать угрозу с конкретной компонентой. Более чем вероятно, что абстрактность угроз, выявленных в результате концептуального анализа, в конечном счете приведет к тому, что и рекомендации относительно средств защиты тоже будут абстрактными. Это приемлемо, если проводится общая оценка риска. Более детальная оценка риска даст рекомендации относительно средств защиты, которые должны уменьшить конкретный риск, такой как раскрытие данных о сотрудниках. Любой информационный актив ИТС, который был определена как достаточно важный (то есть, не был отфильтрован в процессе отбора) должен быть исследован, чтобы выявить те угрозы, которые могут потенциально повредить ему. Для более детальной оценки особое внимание должно быть уделено детализации путей, с помощью которых эти угрозы могли бы быть
79 реализованы. Эти специфические особенности обеспечивают большее количество информации при определении уязвимых мест ИТС и, соответственно, при выборе средств защиты. После того, как угрозы и связанные с ними уязвимые места идентифицированы, с каждой парой угроза/уязвимое место должна быть связана вероятность того, что угроза будет реализована при условии, что используется данное уязвимое место. Выбранная методология оценки риска, должна обеспечить возможность измерения такой вероятности. Как и оценка стоимости активов, назначение меры вероятности может также быть субъективным процессом. Для того, чтобы конкретизировать определение вероятности реализации угрозы, рассматривается определенный отрезок времени, в течение которого предполагается защищать информационный ресурс. В некоторых случаях вообще невозможно численно оценить появление той или иной угрозы, однако для большинства случаев такая оценка все же возможна. Приведем некоторые методы оценки вероятностей проявления угроз. 1. Эмпирическая оценка количества проявлений угрозы за некоторый период времени. Как правило, этот метод применяется для оценки вероятности стихийных бедствий. Невозможно предсказать возникновение, например, пожара в определенном здании, поэтому в таких случаях целесообразно накапливать массив данных об исследуемом событии, безотносительно к тому, направлено ли оно против конкретной ИТС. 2. Оценка частоты проявления угрозы с использованием различных методов экспертной оценки. В этом случае предполагается, что вероятность реализации угрозы определяется, например, следующими факторами: -
привлекательностью актива (этот показатель используется при рассмотрении угрозы от умышленного воздействия со стороны человека);
-
возможностью использования актива для получения дохода (этот показатель используется при рассмотрении угрозы от умышленного воздействия со стороны человека);
-
технические возможности реализации угрозы, используемые при умышленном воздействии со стороны человека;
-
степенью легкости, с которой может быть использована та или иная уязвимость. Результаты суждений экспертов обрабатываются с использованием различных методик.
3. Непосредственная регистрация событий. Обычно этот метод применяется для оценки вероятности часто проявляющихся событий (попытки входа в систему, доступ к определенному объекту и т.д.). Достоинство метода- возможность применения результатов, полученных для ИТС определенного типа и архитектуры, для других аналогичных ИТС. Например, можно использовать публикуемые статистические данные о попытках реализации угроз информации в Интернет. 4. Комбинированные методы, в которых указанные выше методы используются в совокупности.
80 Например, результатом применения методов 2 (технические возможности реализации угрозы) и 3 (статистика попыток реализации угроз в Интернет) является вывод о том, что вероятность реализации угроз в сетях со стеком протоколов TCP/IP определяется уровнем стека протоколов, на котором реализуется угроза (канальный- самая низкая, прикладной- самая высокая). Как и величина возможных потерь, вероятность реализации угрозы может быть нормализована как значение, которое меняется от 1 до 4. 1 будет указывать низкую вероятность, 2 будет указывать умеренную вероятность, 3 будет указывать высокую вероятность и 4 – очень высокую вероятность. Этап 4 - Измерение риска Риск, связанный с угрозой, может рассматриваться как функция относительной вероятности, что угроза может быть реализована, и ожидаемых потерь, которые будут понесены при реализации угрозы. В этом случае риск рассчитывается следующим образом: Риск = вероятность реализации угрозы (через определенное уязвимое место) * понесенная потеря Если величина потерь и вероятности реализации угроз определены как числа в интервале от 1 до 4, риск может быть рассчитан, как число в интервале от 1 до 16; значения риска от 1 до 3 будут считаться низким риском, от 4 до 8 - умеренным риском, от 9 до 16 - высоким риском. В матрице или таблице можно наглядно отразить связь факторов негативного воздействия на активы (потери или ущерб для ресурсов) и вероятностей реализации угрозы (с учетом используемых для их реализации уязвимостей). Таблица 2.12. Ранжирование показателей рисков Дескриптор
Показатель негативного
Показатель
Показатель
Ранг
угрозы (a)
воздействия (показатель
вероятности
риска (d)
риска,
потерь для ресурса) (b)
реализации угрозы
связанного
(с)
с угрозой (е)
Угроза A
4
1
4
С
Угроза B
3
3
9
В
Угроза C
2
1
2
Н
81 Дескриптор
Показатель негативного
Показатель
Показатель
Ранг
угрозы (a)
воздействия (показатель
вероятности
риска (d)
риска,
потерь для ресурса) (b)
реализации угрозы
связанного
(с)
с угрозой (е)
Угроза D
1
3
3
Н
Угроза E
4
4
16
В
Угроза F
2
2
4
С
По списку потенциальных угроз, уязвимых мест и связанных с ними рисков может быть выполнена оценка текущей ситуации с обеспечением защищенности информации в ИТС и определены те угрозы (для тех или иных информационных активов), на предотвращение которых должны быть в первую очередь направлены усилия разработчиков СЗИ.
2.5 Реализация мероприятий по обеспечению защиты информации в ИТС 2.5.1 Реализация организационных мер защиты Организационные
меры
защиты
-
это
меры
административного
характера,
регламентирующие процессы функционирования системы обработки информации, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз информации. Они включают: -
разработку правил обработки информации в ИТС;
-
мероприятия,
осуществляемые
при
проектировании,
строительстве
и
оборудовании
вычислительных центров и других объектов ИТC (учет влияния стихии, пожаров, охрана помещений, организация защиты от установки прослушивающей аппаратуры и т.п.); -
мероприятия, осуществляемые при подборе и подготовке персонала (проверка новых сотрудников, ознакомление их с порядком работы с конфиденциальной информацией, с мерами ответственности за нарушение правил ее обработки; создание условий, при которых персоналу было бы невыгодно допускать злоупотребления и т.д.);
-
организацию надежного пропускного режима;
-
организацию учета, хранения, использования и уничтожения документов и носителей с конфиденциальной информацией;
-
распределение атрибутов доступа (паролей, полномочий по доступу и т.п.);
82 -
организацию подготовки и скрытого контроля за работой пользователей и персонала ИТС;
-
мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения (сертификация используемых технических и программных средств, строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на соответствие требованиям защиты, документальное отражение изменений и т.п.). Организационные
меры защиты реализуются путем разработки соответствующих
нормативных документов (положений, инструкций и т.п.) и административного контроля за выполнением персоналом (пользователями) ИТС требований данных документов. Примерный перечень документов, которыми может регламентироваться порядок обработки информации в ИТС: -
положение о службе защиты информации в ИТС. Должно определять задачи, функции, штатную структуру, обязанности, права и ответственность сотрудников службы, порядок взаимодействия с другими подразделениями;
-
план защиты информации в ИТС. Должен определять основные задачи защиты: -
классификацию информации, описание технологии ее обработки;
-
модель нарушителя;
-
модель угроз (формализованное или неформализованное описание способов реализации угроз в ИТС);
-
политику безопасности обрабатываемой информации;
-
перечень документов, в соответствии с которыми реализована защита информации в ИТС.
-
порядок разработки, внедрения и модернизации прикладного программного обеспечения ИТС;
-
правила выдачи идентификаторов и управления атрибутами доступа пользователей ИТС;
-
правила классификации и классификатор информации и пользователей ИТС;
-
инструкция о порядке резервирования информации;
-
инструкция о порядке оперативного восстановления работоспособности ИТС;
-
руководства пользователей СЗИ;
-
инструкции о порядке ввода в действие СЗИ;
-
инструкции о порядке модернизации СЗИ;
-
инструкция по организации контроля за функционированием СЗИ. Организационные меры играют значительную роль в обеспечении защищенности
информации, обрабатываемой в ИТС. Эти меры необходимо использовать тогда, когда другие методы и средства защиты просто недоступны (отсутствуют или слишком дороги). Однако это вовсе не означает, что СЗИ необходимо и можно строить исключительно на основе организационных мер. Этим мерам присущи серьезные недостатки, такие как:
83 -
низкая их надежность без соответствующей поддержки со стороны средств, реализующих физические и технических меры защиты (люди склонны к нарушению любых установленных правил, если только их можно нарушить);
-
применение для защиты только организационных мер может привести к параличу функционирования ИТС и всей организации из-за ряда дополнительных неудобств, связанных с большим объемом рутинной формальной деятельности.
2.5.2 Реализация технических мер защиты Защита информации в ИТС направлена на обеспечение защищенности обрабатываемой информации и ИТС в целом, т.е. такого состояния, в котором сохраняются заданные свойства информации и ИТС, ее обрабатывающей. Система указанных мер, обеспечивающая защиту информации в ИТС, называется СЗИ. Технические меры защиты – это меры по внедрению и использованию различного рода программных и программно-аппаратных средств которые выполняют (самостоятельно или в комплексе с другими средствами) различные функции защиты. Сущность этапа реализации СЗИ заключается в выборе (разработке), установке и настройке средств защиты, необходимых для реализации зафиксированных в плане защиты правил обработки информации. Содержание этого этапа зависит от способа реализации различных функций защиты в средствах защиты. КСЗ — это совокупность программно-аппаратных средств, обеспечивающих реализацию политики безопасности информации. Любой компонент ИТС, который
вследствие
какого-либо
воздействия
способен
вызвать
безопасности, должен рассматриваться как часть КСЗ. Основные этапы разработки КСЗ СЗИ в ИТС приведены на рис. 2.2.
нарушение
политики
84 Требования обеспечения Функциональная
Уточнение в процессе проектирования и реализации
спецификация Проект верхнего
Исходный код/ схемы
Реализация
Анализ соответствия и совместная проверка
Рис.2.2 Этапы процесса разработки КСЗ СЗИ в ИТС
2.5.2.1 Базовые понятия. Услуги безопасности, механизмы защиты, средства защиты С точки зрения обеспечения защищенности информации КСЗ можно рассматривать как набор функциональных услуг. Каждая услуга представляет собой набор функций, позволяющих противостоять
некоторому
множеству
угроз.
Совокупность
таких
услуг
определяет
функциональную спецификацию КСЗ и называется функциональным профилем защищенности информации. 2.5.2.1.1 Услуги безопасности Услуга безопасности — совокупность функций КСЗ ИТС, обеспечивающих защиту от определенной угрозы или от множества угроз. Существует определенный перечень услуг, которые на основании практического опыта признаны "полезными" для обеспечения защищенности информации. Требования к реализации данных услуг приведены в различных документах, например, стандартах ISO, НД ТЗИ 2.5-004-99.
85 2.5.2.1.2 Функции и механизмы защиты Основными задачами средств защиты являются изоляция объектов ИТС внутри сферы управления, проверка всех запросов доступа к объектам и регистрация запросов и результатов их проверки и/или выполнения. С одной стороны, любая элементарная функция любой из услуг, реализуемых средствами защиты, может быть отнесена к функциям изоляции, проверки или регистрации. С другой стороны, любая из функций, реализуемых средствами защиты, может быть отнесена к функциям обеспечения конфиденциальности, целостности и доступности информации либо управляемости ИТС и наблюдаемости действий пользователей. Механизмы защиты — конкретные процедуры и алгоритмы, используемые для реализации определенных функций и услуг безопасности. Каждая функция может быть реализована одним или более механизмами, которые зависят от конкретной ИТС. В то же время одни и те же механизмы могут использоваться для реализации нескольких услуг. Реализация механизмов может быть абсолютно различной. Для реализации функций
защиты
могут
использоваться
программные
или
аппаратные
средства,
криптографические преобразования, различные методы проверки полномочий и т.п. Выбор методов и механизмов практически всегда остается за разработчиком. Единственным требованием остается, чтобы функции защиты были реализованы в соответствии с декларируемой политикой безопасности и требованиями гарантий корректности их реализации. 2.5.2.2 Услуги безопасности и механизмы защиты согласно стандартам ISO 2.5.2.2.1 Услуги безопасности согласно стандартам ISO Стандартом ISO 7498-2 вводятся, а в стандартах ISO 10181-1 - 10181-7 подробно описываются следующие базовые услуги безопасности: Конфиденциальность - услуга безопасности, которая позволяет обеспечить сохранение конфиденциальности информации путем защиты от "доступа или раскрытия со стороны неавторизованных лиц, объектов или процессов". Определяется четыре версии данной услуги: -
конфиденциальность (системы с установлением соединения);
-
конфиденциальность (системы без установления соединения);
-
конфиденциальность (отдельные информационные поля);
-
конфиденциальность (трафик). Управление
доступом
-
услуга
безопасности,
которая позволяет
"предотвратить
неавторизованное использование ресурсов, включая предотвращение использования ресурсов недопустимым способом". -
управление доступом;
86 Целостность - услуга безопасности, которая позволяет обеспечить сохранение целостности данных или связанных с ними атрибутов от "несанкционированной модификации, удаления, создания, вставки или повтора". Определяется пять версий данной услуги: -
целостность с восстановлением (системы с установлением соединения);
-
целостность без восстановления (системы с установлением соединения);
-
целостность отдельных информационных полей (системы с установлением соединения);
-
целостность (системы без установления соединения);
-
целостность отдельных информационных полей (системы без установления соединения). Причастность - услуга безопасности, определяемая как "предотвращение возможности
отказа одним из реальных участников коммуникационного взаимодействия факта его полного или частичного участия в передаче данных". Определяется две версии данной услуги: -
причастность к отправке;
-
причастность к получению; Доступность – определяется как услуга безопасности, с помощью которой может быть
обеспечено заданное "качество" функционирования ресурсов ИТС. -
доступность; Кроме этого, вводятся такие дополнительные услуги безопасности: Аутентификация – определяется как услуга безопасности, которая позволяет гарантировать
требуемый уровень идентичности некой сущности (объекта). Определяется две версии данной услуги: -
-
аутентификация одноуровневых объектов (сущностей), дополняет услуги: -
управление доступом;
-
аудит;
аутентификация источника данных, дополняет услуги: -
целостность;
-
конфиденциальность,
-
причастность;
-
аудит. Аудит - услуга безопасности, которая позволяет обеспечить наблюдаемость ИТС (свойство
ИТС, позволяющее фиксировать деятельность пользователей и процессов, использование информационных объектов, а также однозначно устанавливать идентификаторы причастных к определенным событиям пользователей и процессов с целью предотвращения нарушения установленных
правил
доступа
к
информации
и/или
обеспечения ответственности
за
определенные действия) – обеспечивает анализ адекватности функционирования системы
87 реализуемой политике безопасности, учет и регистрацию действий пользователей по использованию ресурсов, учет попыток нанесения ущерба обрабатываемой информации. -
аудит, дополняет услуги: -
конфиденциальность,
-
управление доступом;
-
целостность;
-
причастность;
-
аутентификация одноуровневых объектов (сущностей);
-
аутентификация источника данных. 2.5.2.2.2 Механизмы защиты согласно стандартам ISO Для реализации указанных услуг стандарты ISO 7498-2, 10181-1 - 10181-7 определяют
следующие механизмы защиты: управление доступом, шифрование, управление маршрутом, заполнение трафика, цифровая подпись, контроль целостности с использованием кода контроля целостности (ККЦ), контроль целостности по контексту, обеспечение целостности путем репликации
данных,
обеспечение
целостности
путем
повтора
сообщений,
нотаризация
(заверение), аутентификация, регистрация и аудит. 1. Управление доступом – предоставление права доступа к ресурсу в соответствии со специальной таблицей правил. Управление доступом на основе списков управления доступом (access control list, ACL). Список управления доступом - перечень пользователей и/или процессов с указанием их прав доступа к информационному объекту ИТС, с которым связан этот перечень. Обеспечивает очень избирательную настройку прав доступа. Управление доступом на основе полномочий (capabilities). Полномочия - перечень прав пользователя или процесса на выполнение определенных действий над (с) определенными объектами ИТС. Управление доступом на основе меток доступа. Метка доступа - атрибут доступа, отражающий категорию доступа объекта ИТС. Категория доступа (security level) — комбинация иерархических и неиерархических атрибутов доступа, отражающая уровень критичности (например, конфиденциальности) информации или полномочий пользователя по доступу к такой информации.. Уровень доступа (access level) — иерархическая часть категории доступа пассивного объекта. Уровень допуска (clearance) — иерархическая часть категории доступа пользователя или процесса, которая определяет максимальный уровень доступа пассивного объекта, к которому может получить доступ пользователь или процесс.
88 Контекстно-зависимое управление доступом – управление доступом на основе информации, содержащейся в запросе на доступ к информационному объекту (время, адрес инициатора запроса, маршрут прохождения запроса и т.п.). 2. Шифрование – использование криптографических преобразований для приведения данных к нечитаемому виду. Различают шифрование с использованием: -
симметричных алгоритмов (в этом случае для зашифрования и расшифрования данных используется один и тот же секретный ключ);
-
несимметричных алгоритмов (в этом случае для зашифрования данных используется открытый ключ, а для расшифрования - парный ему секретный ключ). 3. Управление маршрутом – выбор специального пути передачи сообщения для
исключения контроля за его следованием от отправителя к получателю. Реализуется в средствах маршрутизации сообщений оконечной или промежуточной систем с использованием специальных меток. 4. Заполнение трафика – генерация случайного трафика, заполнение информативных пакетов дополнительной информацией, передача пакетов через промежуточные узлы или в ненужном направлении. Оба типа пакетов (информативный и случайный) могут при этом дополняться как до фиксированной, так и до случайной длины. 5. Цифровая подпись – использование криптографических преобразований на основе несимметричных
алгоритмов
для
подтверждения
источника
происхождения
сообщения.
Предполагает использование двух типов криптографических ключей: -
секретного (личного) ключа – для выработки цифровой подписи;
-
открытого (публичного) ключа – для проверки цифровой подписи. 6. Контроль целостности по ККЦ – механизм проверки/ подтверждения целостности
сообщения с использованием специальной контрольной величины, являющейся функцией передаваемых в сообщении данных. Использование данного механизма предполагает выполнение операций выработки и проверки ККЦ. 7. Контроль целостности по контексту – механизм проверки/ подтверждения целостности сообщения, предполагающий проверку наличия в определенной части сообщения определенных, наперед известных данных (например, временной метки или номера пакета). Используется для проверки целостности потока данных (сообщений). 8. Обеспечение целостности путем репликации данных – механизм обеспечения целостности данных с восстановлением, предполагающий: -
наличие сделанных заранее нескольких копий данных, разнесенных по разным хранилищам;
-
обнаружение нарушения целостности путем выполнения сравнения данных из разных источников;
89 -
восстановление (выбор достоверных данных) с использованием пороговых критериев. 9. Обеспечение целостности путем повтора сообщений - механизм обеспечения
целостности данных с восстановлением, включающий: -
обнаружение нарушения целостности с использованием механизмов контроля целостности;
-
оповещение источника данных о нарушении и повтор сообщения до тех пор, пока целостность данных не будет обеспечена. 10. Нотаризация (заверение) – подтверждение характеристик передаваемых данных при
помощи третьей (доверенной) стороны. Предполагает использование специальных протоколов обмена
сообщениями,
как
правило,
реализуется
с
использованием
несимметричных
криптографических алгоритмов. 11. Аутентификация – подтверждение при помощи специальных (в т.ч. криптографических) процедур подлинности участников взаимодействия. Аутентификация пользователей (основные принципы): -
что-то знаю;
-
чем-то владею;
-
обладаю неотъемлемыми характеристиками;
-
на основе информации от доверенной третьей стороны. 12. Регистрация и аудит – механизмы, используемые для реализации контроля действий
объекта (сущности) на основании зарегистрированной информации. Включают: -
контроль поведения на основе заранее определенного "профиля";
-
контроль на наличие некоторых типов событий в течение определенного периода времени;
-
контроль на отсутствие некоторых типов событий в течение определенного периода времени. Различные механизмы защиты могут применяться на различных уровнях протоколов
эталонной модели ВОС. Связь между услугами безопасности, механизмами защиты и применимость различных механизмов на тех или иных уровнях протоколов эталонной модели ВОС приведена в таблицах 2.13 и 2.14.
90 Таблица 2.13. Связь между услугами обеспечения безопасности и используемыми механизмами согласно ISO 7498-2, 10181
да
да
да
да
да
да
да
да
да
установления соединения) Конфиденциальность (отдельные
да
информационные поля) Конфиденциальность (трафик) Управление доступом Целостность с восстановлением
да
да
да
да
(системы с установлением соединения) Целостность без восстановления (системы с установлением соединения) Целостность отдельных информационных полей (системы с установлением соединения) Целостность (системы без
да
да
да
да
да
да
да
да
установления соединения) Целостность отдельных информационных полей (системы без установления соединения)
12. Регистрация и аудит
9. Повтор сообщений
Конфиденциальность (системы без
11. Аутентификация
8. Репликация данных
да
да
установлением соединения)
10. Нотаризация (заверение)
7. Контроль цел. по контексту
да
да
5. Цифровая подпись
да
да
4. Заполнение трафика
6. Контроль целостности по ККЦ
Конфиденциальность (системы с
3. Управление маршрутом
безопасности
2. Шифрование
Услуга обеспечения
1. Управление доступом
Используемые механизмы
91
да
да
да
да
да
да
Доступность
да
Аутентификация одноуровневых
12. Регистрация и аудит
да
11. Аутентификация
да
10. Нотаризация (заверение)
да
9. Повтор сообщений
Причастность к получению
8. Репликация данных
да
7. Контроль цел. по контексту
6. Контроль целостности по ККЦ да
4. Заполнение трафика
да
3. Управление маршрутом
да
безопасности
2. Шифрование
Причастность к отправке
Услуга обеспечения
1. Управление доступом
5. Цифровая подпись
Используемые механизмы
да да
объектов (сущностей) Аутентификация источника
да
данных Аудит
да
Таблица 2.14. Применимость услуг обеспечения безопасности и реализующих их механизмов на различных уровнях модели ВОС согласно ISO 7498-2
Сетевой
Транспортный
2
2
2, 3
2
установлением соединения)
Прикладной
Канальный
Конфиденциальность (системы с
Представления данных
безопасности
Физический
Услуга обеспечения
Сеансовый
Уровни модели ВОС
2
2
92
2, 3
2
Прикладной
Транспортный
2
Представления данных
Сетевой
Конфиденциальность (системы
Канальный
безопасности
Физический
Услуга обеспечения
Сеансовый
Уровни модели ВОС
2
2
2
2
2
4
без установления соединения) Конфиденциальность (отдельные информационные поля) Конфиденциальность (трафик) Управление доступом
2
3, 4 1
1
1
1
Целостность с восстановлением
2, 6,
2, 6,
2, 6,
(системы с установлением
7, 9
7, 8, 9
7, 8, 9
2, 6
2, 6, 7
2, 6, 7
2, 6, 7
2, 6, 7
2, 6, 7
2, 6, 7
соединения) Целостность без восстановления
2, 6
(системы с установлением соединения) Целостность отдельных информационных полей (системы с установлением соединения) Целостность (системы без
2, 6
2, 6
2, 6
установления соединения) Целостность отдельных
2, 5,
информационных полей (системы
6, 7
без установления соединения) Причастность к отправке
5,6,10
2,5,6, 10
Причастность к получению
5,6,10
2,5,6, 10
93
1, 3
1
Аутентификация одноуровневых
2, 11
2, 5,
2, 5,
6, 11
6, 11
2
2, 5, 6
2, 5, 6
12
12
12
объектов (сущностей) Аутентификация источника
Прикладной
Транспортный
1
Представления данных
Сетевой
Доступность
безопасности
Физический
Канальный
Услуга обеспечения
Сеансовый
Уровни модели ВОС
1 2
2, 11
2, 5
2, 5
данных Аудит
12
2.5.2.3 Услуги безопасности согласно НД ТЗИ 2.5-004-99 Требования к функциональным услугам разбиты на четыре группы, каждая из которых описывает требования к услугам, обеспечивающим защиту от угроз одного из трех основных типов: конфиденциальности, целостности, доступности, а также услуги, которые обеспечивают реализацию такого свойства ИТС, как наблюдаемость - свойство ИТС, позволяющее фиксировать деятельность пользователей и процессов, использование информационных объектов, а также однозначно устанавливать идентификаторы причастных к определенным событиям пользователей и процессов с целью предотвращения нарушения установленных правил доступа к информации и/или обеспечения ответственности за определенные действия.. Согласно Критериям каждая услуга может включать несколько уровней. Чем выше уровень услуги, тем более полно обеспечивается защита от определенного вида угроз. Для каждой услуги должна быть разработана политика безопасности услуги (политика услуги), которая будет реализована ИТС. Политика услуги должна определять, к каким объектам применяется услуга. Это определенное подмножество объектов называется защищенными объектами по отношению к данной услуге.
94 НД ТЗИ 2.5-004-99 "Критерии оценки защищенности информации в компьютерных системах от несанкционированного доступа" вводит и определяет требования к следующим услугам безопасности: -
доверительная конфиденциальность;
-
административная конфиденциальность;
-
повторное использование объектов;
-
анализ скрытых каналов;
-
конфиденциальность при обмене;
-
доверительная целостность;
-
административная целостность;
-
откат;
-
целостность при обмене;
-
использование ресурсов;
-
устойчивость к отказам;
-
горячая замена;
-
восстановление после сбоев;
-
регистрация;
-
идентификация и аутентификация;
-
достоверный канал;
-
разграничение обязанностей;
-
целостность комплекса средств защиты;
-
самотестирование;
-
идентификация и аутентификация при обмене;
-
аутентификация отправителя;
-
аутентификация получателя. 2.5.2.3.1
Услуги,
механизмы
и
средства
обеспечения
конфиденциальности
информации Услуги конфиденциальности обеспечивают защиту информационных объектов от несанкционированного ознакомления с их содержанием (компрометации). Определяются такие услуги: доверительная конфиденциальность, административная конфиденциальность, повторное использование объектов, анализ скрытых каналов, конфиденциальность при обмене. Доверительная конфиденциальность
95 Данная услуга позволяет пользователю управлять потоками информации от защищенных объектов, принадлежащих его домену, к другим пользователям. Уровни данной услуги ранжируются на основании полноты защиты и избирательности управления. В зависимости от реализованного уровня услуги, КСЗ должен осуществлять разграничение доступа на основании атрибутов доступа: -
процесса и защищенного объекта;
-
пользователя и защищенного объекта;
-
пользователя, процесса и защищенного объекта. Определяемые НД ТЗИ уровни услуги:
КД-1. Минимальная доверительная конфиденциальность КД-2. Базовая доверительная конфиденциальность КД-3. Полная доверительная конфиденциальность КД-4. Абсолютная доверительная конфиденциальность Соответствует услугам согласно стандартам ISO: Управление доступом. Административная конфиденциальность Данная услуга позволяет администратору или специально авторизованному пользователю управлять потоками информации от защищенных объектов к пользователям. Уровни данной услуги ранжируются на основании полноты защиты и избирательности управления. В зависимости от реализованного уровня услуги, КСЗ должен осуществлять разграничение доступа на основании атрибутов доступа: -
процесса и защищенного объекта;
-
пользователя и защищенного объекта;
-
пользователя, процесса и защищенного объекта. Определяемые НД ТЗИ уровни услуги:
КА-1. Минимальная административная конфиденциальность КА-2. Базовая административная конфиденциальность КА-3. Полная административная конфиденциальность КА-4. Абсолютная административная конфиденциальность Соответствует услугам согласно стандартам ISO: Управление доступом. Повторное использование объектов
96 Данная
услуга
позволяет
обеспечить
корректность
повторного
использования
разделяемых объектов, гарантируя, что в случае, если разделяемый объект выделяется новому пользователю или процессу, то он не содержит информации, оставшейся от предыдущего пользователя или процесса. Прежде чем пользователь или процесс сможет получить в свое распоряжение освобожденный другим пользователем или процессом объект, установленные для предыдущего пользователя или процесса права доступа к данному объекту должны быть отменены, а вся содержащаяся в данном объекте информация должна стать недоступной. Определяемые НД ТЗИ уровни услуги: КО-1. Повторное использование объектов Соответствует услугам согласно стандартам ISO: Нет. Анализ скрытых каналов Анализ скрытых каналов выполняется с целью выявления и исключения потоков информации, которые существуют, но не контролируются другими услугами. Уровни данной услуги ранжируются на основании того, выполняется ли только выявление, контроль или перекрытие скрытых каналов. Определяемые НД ТЗИ уровни услуги: КК-1. Выявление скрытых каналов КК-2. Контроль скрытых каналов КК-3. Перекрытие скрытых каналов Соответствует услугам согласно стандартам ISO: Нет. Конфиденциальность при обмене Данная услуга позволяет обеспечить защиту объектов от несанкционированного ознакомления с содержащейся в них информацией при их экспорте/импорте через незащищенную среду. Уровни данной услуги ранжируются на основании полноты защиты и избирательности управления. КСЗ должен обеспечивать защиту от непосредственного ознакомления с информацией, содержащейся в передаваемом объекте. Определяемые НД ТЗИ уровни услуги: КВ-1. Минимальная конфиденциальность при обмене КВ-2. Базовая конфиденциальность при обмене
97 КВ-3. Полная конфиденциальность при обмене КВ-4. Абсолютная конфиденциальность при обмене Соответствует услугам согласно стандартам ISO: Конфиденциальность (системы с установлением соединения) Конфиденциальность (системы без установления соединения) Конфиденциальность (отдельные информационные поля) Конфиденциальность (трафик) 2.5.2.3.2 Услуги, механизмы и средства обеспечения целостности информации Услуги
целостности
обеспечивают
защиту
обрабатываемой
информации
от
несанкционированной модификации. Определяются такие услуги: доверительная целостность, административная целостность, откат, целостность при обмене. Доверительная целостность Данная услуга позволяет пользователю управлять потоками информации от других пользователей к защищенным объектам, принадлежащим его домену. Уровни данной услуги ранжируются на основании полноты защиты и избирательности управления. В зависимости от реализованного уровня услуги, КСЗ должен осуществлять разграничение доступа на основании атрибутов доступа: -
пользователя и защищенного объекта;
-
процесса и защищенного объекта;
-
процесса, пользователя и защищенного объекта. Определяемые НД ТЗИ уровни услуги:
ЦД-1. Минимальная доверительная целостность ЦД-2. Базовая доверительная целостность ЦД-3. Полная доверительная целостность ЦД-4. Абсолютная доверительная целостность Соответствует услугам согласно стандартам ISO: Управление доступом. Административная целостность Данная услуга позволяет администратору или специально авторизованному пользователю управлять потоками информации от пользователей к защищенным объектам. Уровни данной услуги ранжируются на основании полноты защиты и избирательности управления.
98 В зависимости от реализованного
уровня
услуги, КСЗ должен осуществлять
разграничение доступа на основании атрибутов доступа: -
пользователя и защищенного объекта;
-
процесса и защищенного объекта;
-
процесса, пользователя и защищенного объекта. Определяемые НД ТЗИ уровни услуги:
ЦА-1. Минимальная административная целостность ЦА-2. Базовая административная целостность ЦА-3. Полная административная целостность ЦА-4. Абсолютная административная целостность Соответствует услугам согласно стандартам ISO: Управление доступом. Откат Данная услуга обеспечивает возможность отменить операцию или последовательность операций и вернуть (откатить) защищенный объект в предыдущее состояние. Уровни данной услуги ранжируются на основании множества операций, для которых обеспечивается откат. Должны существовать автоматизированные средства, которые позволяют авторизованному пользователю или процессу откатить или отменить определенный набор операций или все операции, проведенные над защищенным объектом за определенный промежуток времени. Определяемые НД ТЗИ уровни услуги: ЦО-1. Ограниченный откат ЦО-2. Полный откат Соответствует услугам согласно стандартам ISO: Целостность с восстановлением (системы с установлением соединения). Целостность при обмене Данная
услуга
позволяет
обеспечить
защиту объектов
от
несанкционированной
модификации содержащейся в них информации при их экспорте/импорте через незащищенную среду. Уровни данной услуги ранжируются на основании полноты защиты и избирательности управления. В зависимости от реализованного уровня услуги, КСЗ должен обеспечивать возможность обнаружения нарушения целостности информации, содержащейся в передаваемом объекте, а также фактов его удаления или дублирования. Определяемые НД ТЗИ уровни услуги:
99 ЦВ-1. Минимальная целостность при обмене ЦВ-2. Базовая целостность при обмене ЦВ-3. Полная целостность при обмене Соответствует услугам согласно стандартам ISO: Целостность без восстановления (системы с установлением соединения). Целостность отдельных информационных полей (системы с установлением соединения). Целостность (системы без установления соединения). Целостность отдельных информационных полей (системы без установления соединения). 2.5.2.3.3 Услуги, механизмы и средства обеспечения доступности информации Услуги доступности обеспечивают возможность использования ИТС в целом, отдельных функций или обрабатываемой информации в определенном промежутке времени и позволяют гарантировать способность ИТС функционировать в случае отказа ее компонентов. Выделяются такие услуги обеспечения доступности: использование ресурсов, устойчивость к отказам, горячая замена, восстановление после сбоев. Использование ресурсов Данная услуга позволяет пользователям управлять использованием услуг и ресурсов. Уровни данной услуги ранжируются на основании полноты защиты и избирательности управления доступностью услуг ИТС. В зависимости от реализованного уровня услуги, политика использования ресурсов должна определять ограничения, которые можно накладывать, на количество данных объектов (объем ресурсов), выделяемых: -
отдельному пользователю;
-
отдельному пользователю и произвольным группам пользователей. Определяемые НД ТЗИ уровни услуги:
ДР-1. Квоты ДР-2. Пресечение захвата ресурсов ДР-3. Приоритетность использования ресурсов Соответствует услугам согласно стандартам ISO: Доступность (управление доступом). Устойчивость к отказам Устойчивость к отказам гарантирует доступность ИТС (возможность использования информации, отдельных функций или ИТС в целом) после отказа ее компонента. Уровни данной
100 услуги
ранжируются
на
основании
способности
КСЗ
обеспечить
возможность
функционирования ИТС в зависимости от количества отказов и услуг, доступных после отказа. В зависимости от реализованного уровня услуги, политика устойчивости к отказам, реализуемая КСЗ, должна относиться: -
к определенному множеству компонентов ИТС;
-
ко всем компонентам ИТС. Определяемые НД ТЗИ уровни услуги:
ДС-1. Устойчивость при ограниченных отказах ДС-2. Устойчивость с ухудшением характеристик обслуживания ДС-3. Устойчивость без ухудшения характеристик обслуживания Соответствует услугам согласно стандартам ISO: Доступность (управление маршрутом). Горячая замена Данная услуга позволяет гарантировать доступность ИТС (возможность использования информации, отдельных функций или ИТС в целом) в процессе замены отдельных компонентов. Уровни данной услуги ранжируются на основании полноты реализации. Определяемые НД ТЗИ уровни услуги: ДЗ-1. Модернизация ДЗ-2. Ограниченная горячая замена ДЗ-3. Горячая замена любого компонента Соответствует услугам согласно стандартам ISO: Доступность. Восстановление после сбоев Данная услуга обеспечивает возврат ИТС в известное защищенное состояние после отказа или прерывания обслуживания. Уровни данной услуги ранжируются на основании степени автоматизации процесса восстановления. Политика восстановления, реализуемая КСЗ, должна определять множество типов отказов ИТС и прерываний обслуживания, после которых возможен возврат в известное защищенное состояние без нарушения политики безопасности. Должны быть четко указаны уровни отказов, при превышении которых необходима повторная инсталляция ИТС. Определяемые НД ТЗИ уровни услуги: ДВ-1. Ручное восстановление ДВ-2. Автоматизированное восстановление
101 ДВ-3. Избирательное восстановление Соответствует услугам согласно стандартам ISO: Доступность. 2.5.2.3.4 Услуги, механизмы и средства обеспечения наблюдаемости ИТС Услуги наблюдаемости обеспечивают ответственность пользователя за свои действия и поддержание способности КСЗ выполнять свои функции. Наблюдаемость обеспечивается ИТС через такие услуги: регистрация (аудит), идентификация и аутентификация, достоверный канал, разграничение
обязанностей,
целостность
КСЗ,
самотестирование,
идентификация
и
аутентификация при обмене, аутентификация отправителя, аутентификация получателя: Регистрация Регистрация позволяет контролировать опасные для ИТС действия. Уровни данной услуги ранжируются в зависимости от полноты и избирательности контроля, сложности средств анализа данных, содержащихся в журналах регистрации, способности выявления потенциальных нарушений. В зависимости от реализованного уровня услуги, КСЗ должен быть способен осуществлять регистрацию событий, имеющих непосредственное или непосредственное и косвенное отношение к безопасности, а также предоставлять средства просмотра и анализа журнала регистрации разной степени функциональности. Определяемые НД ТЗИ уровни услуги: НР-1. Внешний анализ НР-2. Защищенный журнал НР-3. Сигнализация об опасности НР-4. Детальная регистрация НР-5. Анализ в реальном времени Соответствует услугам согласно стандартам ISO: Аудит. Идентификация и аутентификация Идентификация и аутентификация позволяют КСЗ определить и проверить личность пользователя, пытающегося получить доступ к ИТС. Уровни данной услуги ранжируются в зависимости от числа задействованных механизмов аутентификации. В зависимости от реализованного уровня услуги, прежде чем разрешить любому пользователю выполнять любые другие, контролируемые КСЗ действия, КСЗ должен:
102 -
с использованием защищенного механизма получить от некоторого внешнего источника аутентифицированный идентификатор этого пользователя;
-
аутентифицировать этого пользователя с использованием защищенного механизма;
-
аутентифицировать этого пользователя с использованием защищенных механизмов двух или более типов. Определяемые НД ТЗИ уровни услуги:
НИ-1. Внешняя идентификация и аутентификация НИ-2. Одиночная идентификация и аутентификация НИ-3. Множественная идентификация и аутентификация Соответствует услугам согласно стандартам ISO: Аутентификация одноуровневых объектов (сущностей). Достоверный канал Данная услуга позволяет гарантировать пользователю возможность непосредственного взаимодействия с КСЗ. Уровни данной услуги ранжируются в зависимости от гибкости предоставления возможности КСЗ или пользователю инициировать защищенный обмен. Определяемые НД ТЗИ уровни услуги: НК-1. Однонаправленный достоверный канал НК-2. Двунаправленный достоверный канал Соответствует услугам согласно стандартам ISO: Нет. Разграничение обязанностей Данная услуга позволяет уменьшить потенциальный ущерб от умышленных или ошибочных действий пользователя и ограничить авторитарность управления. Уровни данной услуги ранжируются на основании избирательности управления возможностями пользователей и администраторов. Определяемые НД ТЗИ уровни услуги: НО-1. Выделение администратора НО-2. Разграничение обязанностей администраторов НО-3. Разграничение обязанностей на основании привилегий Соответствует услугам согласно стандартам ISO: Управление доступом на основе полномочий (capabilities). Целостность комплекса средств защиты
103 Данная услуга определяет меру способности КСЗ защищать себя и гарантировать свою способность управлять защищенными объектами. Определяемые НД ТЗИ уровни услуги: НЦ-1. КСЗ с контролем целостности НЦ-2. КСЗ с гарантированной целостностью НЦ-3. КСЗ с функциями диспетчера доступа Соответствует услугам согласно стандартам ISO: Нет. Самотестирование Самотестирование позволяет КСЗ проверить и на основании этого гарантировать правильность функционирования и целостность определенного множества функций ИТС. Уровни данной услуги ранжируются на основании возможности выполнения тестов в процессе запуска или штатной работы. Определяемые НД ТЗИ уровни услуги: НТ-1. Самотестирование по запросу НТ-2. Самотестирование при старте НТ-3. Самотестирование в реальном времени Соответствует услугам согласно стандартам ISO: Нет. Идентификация и аутентификация при обмене Данная услуга позволяет одному КСЗ идентифицировать другой КСЗ (установить и проверить его идентичность) и обеспечить другому КСЗ возможность идентифицировать первый, прежде чем начать взаимодействие. Уровни данной услуги ранжируются на основании полноты реализации. КСЗ, прежде чем начать обмен данными с другим КСЗ, должен идентифицировать и аутентифицировать этот КСЗ с использованием защищенного механизма. В зависимости от реализованного уровня услуги, КСЗ должен использовать защищенные механизмы для установления источника каждого экспортируемого и импортируемого объекта, а также обеспечивать возможность однозначного подтверждения источника объекта независимой третьей стороной. Определяемые НД ТЗИ уровни услуги: НВ-1. Аутентификация узла НВ-2. Аутентификация источника данных
104 НВ-3. Аутентификация с подтверждением Соответствует услугам согласно стандартам ISO: Аутентификация одноуровневых объектов (сущностей). Аутентификация источника данных. Аутентификация отправителя Данная услуга позволяет обеспечить защиту от отказа от авторства и однозначно установить принадлежность определенного объекта определенному пользователю, т.е. тот факт, что объект был создан или отправлен данным пользователем. Уровни данной услуги ранжируются на основании возможности подтверждения результатов проверки независимой третьей стороной. Определяемые НД ТЗИ уровни услуги: НА-1. Базовая аутентификация отправителя НА-2. Аутентификация отправителя с подтверждением Соответствует услугам согласно стандартам ISO: Причастность к отправке. Аутентификация получателя Данная услуга позволяет обеспечить защиту от отказа от получения и позволяет однозначно установить факт получения определенного объекта определенным пользователем. Уровни данной услуги ранжируются на основании возможности подтверждения результатов проверки независимой третьей стороной. Определяемые НД ТЗИ уровни услуги: НП-1. Базовая аутентификация получателя НП-2. Аутентификация получателя с подтверждением Соответствует услугам согласно стандартам ISO: Причастность к получению. 2.5.3 Оценка эффективности систем защиты информации, обрабатываемой в ИТС Прежде чем подвергнуть информационные активы опасности воздействия выявленных угроз, их владельцам необходимо убедиться, что предпринятые контрмеры обеспечат адекватное противостояние этим угрозам. Сами владельцы активов не всегда в состоянии судить обо всех аспектах предпринимаемых контрмер и поэтому могут потребовать их оценку. Результатом такой оценки является заключение о степени доверия контрмерам по уменьшению рисков для защищаемых активов. Заключение о результатах оценки может быть использовано владельцем активов при принятии решения о приемлемости риска для активов, создаваемого угрозами.
105 Поскольку за активы несут ответственность их владельцы, то им следует иметь возможность отстаивать принятое решение о приемлемости риска для активов, создаваемого угрозами. Для этого требуется, чтобы результаты оценки были правомерными. Следовательно, оценка должна приводить к объективным и повторяемым результатам, что позволит использовать их в качестве свидетельства. Уверенность в защищенности информации в ИТС может быть достигнута в результате действий, которые могут быть предприняты в процессе разработки, оценки и эксплуатации системы. Процесс оценки СЗИ в ИТС, как показано на рис. 2.3, может проводиться параллельно с разработкой СЗИ или следом за ней. Основными исходными материалами для оценки СЗИ являются: а) совокупность требований, характеризующих СЗИ, включая функциональную спецификацию КСЗ СЗИ в качестве основы оценки; б) ИТС, защищенность информации в которой требуется оценить; в) критерии, методология и система оценки.
Критерии оценки Требования обеспечения защищенности
Разработать КСЗ СЗИ ИТС
Методология оценки
Система
КСЗ и свидетельства для оценки
Оценить КСЗ СЗИ ИТС
оценки
Результаты
Начать
оценки
эксплуатацию ИТС
Обратная связь
Рис. 2.3 Процесс оценки КСЗ СЗИ в ИТС
106 Критерии оценки – совокупность требований (шкала оценки), используемая для оценки эффективности функциональных услуг безопасности и корректности их реализации. Методология оценки – определяет последовательность (алгоритм) действий, выполняемых экспертами при оценке эффективности функциональных услуг безопасности и корректности их реализации и форму представления результатов. Система оценки – административно-правовая структура, а рамках которой в определенном сообществе органы оценки применяют критерии оценки. Кроме того, в качестве исходных материалов для оценки возможно также использование вспомогательных материалов (таких, как замечания по применению критериев оценки) и специальных знаний в области обеспечения защищенности информации в ИТС, которыми располагает оценщик и сообщество участников оценок. Ожидаемым результатом оценки является подтверждение удовлетворения КСЗ СЗИ ИТС требований обеспечения защищенности, изложенных в соответствующей политике безопасности и функциональных спецификациях, а также один или несколько отчетов, документирующих выводы оценщика относительно КСЗ СЗИ, сделанные в соответствии с критериями оценки. Такие отчеты, помимо разработчика, будут полезны также реальным и потенциальным потребителям продукта или системы, представленным как объект оценки. Степень уверенности, получаемая в результате оценки, зависит от удовлетворенных при оценке требований критериев.
107 3. ОСОБЕННОСТИ ПОСТРОЕНИЯ СЗИ В ИТС РАЗЛИЧНОГО ТИПА 3.1 Требования законодательства по защите информации в ИТС различного типа 3.1.1 Требования Закона Украины "Об информации" Статья 23. Информация о личности Информация о личности - это совокупность документированных или публично объявленных сведений о личности. Основными данными о личности (персональными данными) являются: национальность, образование, семейное положение, религиозность, состояние здоровье, а также адрес, дата и место рождения. Источниками документированной информации о личности являются выданные на ее имя документы,
подписанные
ею
документы,
а
также
сведения
о
личности,
собранные
государственными органами власти и органами местного и регионального самоуправления в границах своих полномочий. Информация о личности охраняется Законом. Статья 28. Режим доступа к информации Режим доступа к информации - это предусмотренный правовыми нормами порядок получения, использования, распространения и сохранения информации. По режиму доступа информация делится на открытую информацию и информацию с ограниченным доступом. Статья 30. Информация с ограниченным доступом Информация с ограниченным доступом по своему правовому режиму делится на конфиденциальную и секретную. Конфиденциальная информация - это сведения, которые находятся во владении, пользовании или распоряжении отдельных физических или юридических лиц и распространяются по их желанию в соответствии с установленными ими правилами. Граждане, юридические лица, которые владеют информацией профессионального, делового, производственного, банковского, коммерческого и другого характера, полученной на собственные средства, или такой, которая является предметом их профессионального, делового, производственного,
банковского,
коммерческого
и
другого
интереса
и
не
составляет
установленной законом тайны, самостоятельно определяют режим доступа к ней, включая отнесение ее к категории конфиденциальной, и устанавливают для ее систему (способы) защиты.
108 К секретной информации относится информация, которая содержит сведения, составляющие государственную и другую предусмотренную законом тайну, разглашение которой наносит ущерб лицу, обществу и государству. Порядок обработки секретной информации и ее защиты определяется соответствующими государственными органами при условии соблюдения требований, установленных этим Законом. 3.1.2 Требования Закона Украины "О защите информации в информационнотелекоммуникационных системах" Статья 2. Объекты защиты в системе Объектами защиты в системе является информация, обрабатываемая в ней, и программное обеспечение, предназначенное для обработки этой информации. Статья 3. Субъекты отношений Субъектами отношений, связанных с защитой информации в системах, являются: собственники информации; собственники системы; пользователи; уполномоченный орган в сфере защиты информации в системах. Статья 4. Доступ к информации в системе Порядок доступа к информации, перечень пользователей и их полномочия относительно этой информации определяются собственником информации. Порядок
доступа
к
информации,
являющейся
собственностью
государства,
или
информации с ограниченным доступом, требования по защите которой установлены законом, перечень пользователей и их полномочия относительно этой информации определяются законодательством. В случаях, предусмотренных законом, доступ к информации в системе может осуществляться без разрешения ее собственника в порядке, установленном законом. Статья 5. Отношения между собственником информации и собственником системы Собственник системы обеспечивает защиту информации в системе в порядке и на условиях, определенных в договоре, который заключается им с собственником информации, если иное не предусмотрено законом. Собственник системы по требованию собственника информации предоставляет сведения касательно защиты информации в системе.
109 Статья 6. Отношения между собственником системы и пользователем Собственник системы предоставляет пользователю сведения о правилах и режиме работы системы и обеспечивает ему доступ к информации в системе в соответствии с определенным порядком доступа. Статья 8. Условия обработки информации в системе Условия обработки информации в системе определяются собственником системы согласно договору с собственником информации, если иное не предусмотрено законодательством. Информация, являющаяся собственностью государства, или информация с ограниченным доступом, требования по защите которой установлены законом, должна обрабатываться в системе с применением комплексной системы защиты информации с подтвержденным соответствием. Подтверждение соответствия осуществляется по результатам государственной экспертизы в порядке, установленном законодательством. Статья 9. Обеспечение защиты информации в системе Ответственность за обеспечение защиты информации в системе возлагается на собственника системы. Собственник системы, в которой обрабатывается информация, являющаяся собственностью государства, или информация с ограниченным доступом, требования по защите которой установлены законом, создает службу защиты информации или назначает лиц, на которых возлагается обеспечение защиты информации и контроля за ней. О попытках и/или фактах несанкционированных действий в системе касательно информации, являющейся собственностью государства, или информации с ограниченным доступом, требования по защите которой установлены законом, собственник системы сообщает уполномоченному органу в сфере защиты информации. Статья 10. Полномочие государственных органов в сфере защиты информации в системах Требования к обеспечению защиты информации, являющейся собственностью государства, или информации с ограниченным доступом, требования по защите которой установлены законом, устанавливаются Кабинетом Министров Украины. Обязанности уполномоченного органа в сфере защиты информации в системах выполняет центральный орган исполнительной власти в сфере криптографической и технической защиты информации. Уполномоченный орган в сфере защиты информации в системах:
110 разрабатывает предложения относительно государственной политики в сфере защиты информации и обеспечивает ее реализацию в границах своей компетенции; определяет требования и порядок создания комплексной системы защиты информации, являющейся собственностью государства, или информации с ограниченным доступом, требования по защите которой установлены законом; организует проведение государственной экспертизы комплексных систем защиты информации,
экспертизы
и
подтверждения
соответствия
средств
технической
и
криптографической защиты информации; осуществляет контроль за обеспечением защиты информации, являющейся собственностью государства, или информации с ограниченным доступом, требования по защите которой установлены законом. Государственные
органы
в
границах
своих
полномочий
по
согласованию
с
уполномоченным органом в сфере защиты информации устанавливают особенности защиты информации, являющейся собственностью государства, или информации с ограниченным доступом, требования по защите которой установлены законом. Особенности защиты информации в системах, обеспечивающих банковскую деятельность, устанавливаются Национальным банком Украины. 3.1.3 Требования Закона Украины "Об электронных документах и электронном документообороте" Статья 5. Электронный документ Электронный документ - документ, информация в котором зафиксирована в виде электронных данных, включая обязательные реквизиты документа. Состав и порядок размещения обязательных реквизитов электронных документов определяется законодательством. Электронный документ может быть создан, передан, сохранен и превращен электронными средствами в визуальную форму. Визуальной формой представления электронного документа является отображение данных, которые он содержит, электронными средствами или на бумаге в форме, пригодной для восприятия его содержания человеком. Статья 6. Электронная подпись Электронная подпись является обязательным реквизитом электронного документа, который используется для идентификации автора и/или подписавшего электронный документ другими субъектами электронного документооборота.
111 Наложением электронной подписи завершается создание электронного документа. Отношения, связанные с использованием электронных цифровых подписей, регулируются законом. Использование других видов электронных подписей в электронном документообороте осуществляется субъектами электронного документооборота на договорных началах. Статья 7. Оригинал электронного документа Оригиналом электронного документа считается электронный экземпляр документа с обязательными реквизитами, в том числе с электронной цифровой подписью автора. В случае посылки электронного документа нескольким адресатам или его сохранении на нескольких электронных носителях информации любой из электронных экземпляров считается оригиналом электронного документа. Если автором создаются идентичные по документарной информации и реквизитам электронный документ и документ на бумаге, каждый из документов является оригиналом и имеет одинаковую юридическую силу. Оригинал электронного документа должен давать возможность доказать его целостность и истинность в порядке, определенном законодательством; в определенных законодательством случаях может быть предъявлен в визуальной форме отображения, в том числе в бумажной копии. Электронная копия электронного документа удостоверяется в порядке, установленном законом. Копией документа на бумаге для электронного документа является визуальное представление
электронного
документа
на
бумаге,
которое
удостоверено
в
порядке,
установленном законодательством. Статья 8. Правовой статус электронного документа и его копии Юридическая сила электронного документа не может быть оспорена исключительно из-за того, что он имеет электронную форму. Допустимость электронного документа как доказательства не может отрицаться исключительно на основании того, что он имеет электронную форму. Электронный документ не может быть применен как оригинал: 1) свидетельства о праве на наследство; 2) документа, который соответственно законодательству может быть создан лишь в одном оригинальном экземпляре, кроме случаев существования централизованного хранилища оригиналов электронных документов; 3) в других случаях, предусмотренных законом.
112 Нотариальное удостоверение гражданско-правового соглашения, заключенного путем создания электронного документа (электронных документов), осуществляется в порядке, установленном законом. Статья 9. Электронный документооборот Электронный документооборот (оборот электронных документов) - совокупность процессов создания, обработки, отправки, передачи, получения, сохранения, использования и уничтожения электронных документов, которые выполняются с применением проверки целостности и в случае необходимости с подтверждением факта получения таких документов. Порядок электронного документооборота определяется государственными органами, органами местного самоуправления, предприятиями, учреждениями и организациями всех форм собственности в соответствии с законодательством. Статья 10. Отправка и передача электронных документов Отправка и передача электронных документов осуществляются автором или посредником в электронной
форме
с
помощью
средств
информационных,
телекоммуникационных,
информационно-телекоммуникационных систем или путем отправки электронных носителей, на которые записан этот документ. Если автор и адресат в письменной форме предварительно не договорились о другом, датой и временем отправки электронного документа считаются дата и время, когда отправка электронного документа не может быть отменена лицом, которое его отправило. В случае отправки электронного документа путем пересылки его на электронном носителе, на который записан этот документ, датой и временем отправки считаются дата и время сдачи его для пересылки. Требования подтверждения факта получение документа, установленные законодательством в случаях отправки документов заказным письмом или передачи их под расписку, не распространяются на электронные документы. В таких случаях подтверждение факта получение электронных документов осуществляется в соответствии с требованиями этого Закона. Статья 11. Получение электронных документов Электронный документ считается полученным адресатом со времени поступления автору сообщения в электронной форме от адресата о получении этого электронного документа автора, если иное не предусмотрено законодательством или предварительной договоренностью между субъектами электронного документооборота.
113 Если
предварительной
договоренностью
между
субъектами
электронного
документооборота не определен порядок подтверждения факта получения электронного документа,
такое
подтверждение
может
быть
осуществлено
в
любом
порядке
автоматизированным или иным способом в электронной форме или в форме документа на бумаге. Указанное подтверждение должно содержать данные о факте и времени получения электронного документа и об отправителе этого подтверждения. В случае непоступления к автору подтверждения о факте получения этого электронного документа считается, что электронный документ не получен адресатом. Если автор и адресат в письменной форме предварительно не договорились о другом, электронный документ считается отправленным автором и полученным адресатом по их местонахождению (для физических лиц - местожительству), в том числе если информационная, телекоммуникационная, информационно-телекоммуникационная система, с помощью которой получен документ, находится в другом месте. Местонахождение (местожительство) сторон определяется согласно законодательству. Статья 12. Проверка целостности электронного документа Проверка целостности электронного документа проводится путем проверки электронной цифровой подписи. Статья 13. Сохранение электронных документов и архивы электронных документов Субъекты электронного документооборота должны сохранять электронные документы на электронных носителях информации в форме, которая дает возможность проверить их целостность на этих носителях. Срок сохранения электронных документов на электронных носителях информации должен быть не меньше срока, установленного законодательством для соответствующих документов на бумаге. В случае невозможности сохранение электронных документов на электронных носителях информации на протяжении срока, установленного законодательством для соответствующих документов на бумаге, субъекты электронного документооборота должны принимать меры относительно дублирования документов на нескольких электронных носителях информации и осуществлять их периодическое копирование соответственно порядку учета и копирования документов, установленного законодательством. Если невозможно выполнить указанные требования, электронные документы должны сохраняться в виде копии документа на бумаге (в случае отсутствия оригинала этого документа на бумаге). При копировании электронного
114 документа с электронного носителя информации обязательно осуществляется проверка целостности данных на этом носителе. При сохранении электронных документов обязательно соблюдение таких требований: 1) информация, которая помещается в электронных документах, должна быть доступной для ее дальнейшего использования; 2) должна быть обеспечена возможность восстановления электронного документа в том формате, в котором он был создан, отправлен или получен; 3) в случае наличия должна сохраняться информация, которая дает возможность установить происхождение и назначение электронного документа, а также дату и время его отправки или получения. Субъекты электронного документооборота могут обеспечивать соблюдение требований относительно сохранения электронных документов путем использования услуг посредника, в том числе архивного учреждения, если такое учреждение придерживается требований данной статьи. Создание архивов электронных документов, передача электронных документов в архивные учреждения Украины и их сохранение в этих учреждениях осуществляется в порядке, определенном законодательством. Статья 15. Оборот электронных документов, которые содержат информацию с ограниченным доступом Субъекты электронного документооборота, которые осуществляют его на договорных началах, самостоятельно определяют режим доступа к электронным документам, которые содержат конфиденциальную информацию, и устанавливают для них систему (способы) защиты. В информационных, телекоммуникационных, информационно-телекоммуникационных системах, которые обеспечивают обмен электронными документами, которые содержат информацию, являющуюся собственностью государства, или информацию с ограниченным доступом, должна обеспечиваться защита этой информации согласно законодательству. 3.1.4 Требования Закона Украины "Об электронной цифровой подписи" Статья 2. Субъекты правовых отношений в сфере услуг электронной цифровой подписи Субъектами правовых отношений в сфере услуг электронной цифровой подписи являются: - подписывающий; - пользователь; - центр сертификации ключей; - аккредитованный центр сертификации ключей; - центральный удостоверяющий орган;
115 - удостоверяющий центр органа исполнительной власти или другого государственного органа (далее - удостоверяющий центр); - контролирующий орган. Статья 3. Правовой статус электронной цифровой подписи Электронная цифровая подпись по правовому статусу приравнивается к собственноручной подписи (печати) в случае, если: - электронная цифровая подпись подтверждена с использованием усиленного сертификата ключа с помощью надежных средств цифровой подписи; - во время проверки использовался усиленный сертификат ключа, действующий на момент наложения электронной цифровой подписи; - личный ключ подписывающего соответствует открытому ключу, указанному в сертификате. Электронная подпись не может быть признана недействительной лишь из-за того, что она имеет электронную форму или не основана на усиленном сертификате ключа. Статья 4. Назначение электронной цифровой подписи Электронная цифровая подпись предназначена для обеспечения деятельности физических и юридических лиц, осуществляемой с использованием электронных документов. Электронная цифровая подпись используется физическими и юридическими лицами субъектами
электронного
документооборота
для
идентификации
подписывающего
и
подтверждения целостности данных в электронной форме. Использование электронной цифровой подписи не изменяет порядка подписания договоров и других документов, установленного законом для совершения правовых актов в письменной форме. Нотариальные действия по засвидетельствованию истинности электронной цифровой подписи на электронных документах совершаются в соответствии с порядком, установленным законом. Статья 5. Особенности применения электронной цифровой подписи Органы
государственной
власти,
органы
местного
самоуправления,
предприятия,
учреждения и организации государственной формы собственности для засвидетельствования действия открытого ключа используют лишь усиленный сертификат ключа. Другие юридические и физические лица могут на договорных началах удостоверять действие открытого ключа сертификатом ключа, сформированным центром сертификации ключей, а также использовать электронную цифровую подпись без сертификата ключа.
116 ….. В случаях, если в соответствии с законодательством необходимо засвидетельствование действительности подписи на документах и соответствие копий документов оригиналам печатью, на электронный документ накладывается еще одна электронная цифровая подпись юридического лица, специально предназначенная для таких целей. Порядок применения электронной цифровой подписи органами государственной власти, органами
местного
самоуправления,
предприятиями,
учреждениями
и
организациями
государственной формы собственности определяется Кабинетом Министров Украины. Порядок применения цифровой подписи в банковской деятельности определяется Национальным банком Украины. Статья 6. Требования к сертификату ключа Сертификат ключа содержит такие обязательные данные: -
наименование и реквизиты центра сертификации ключей (центрального удостоверяющего органа, удостоверяющего центра);
-
указания, что сертификат выдан в Украине;
-
уникальный регистрационный номер сертификата ключа;
-
основные данные (реквизиты) подписывающего - владельца личного ключа;
-
дату и время начала и окончание срока действия сертификата;
-
открытый ключ;
-
наименование криптографического алгоритма, который используется владельцем личного ключа;
-
информацию об ограничении использования подписи. Усиленный сертификат ключа, кроме обязательных данных, которые помещаются в
сертификате ключа, должен иметь признак усиленного сертификата ключа. Другие данные могут вноситься в усиленный сертификат ключа по требованию его владельца. Статья 7. Права и обязанности подписывающего Подписывающий имеет право: -
требовать отмены, блокирования или возобновления своего сертификата ключа;
-
обжаловать действия или бездеятельность центра сертификации ключей в судебном порядке. Подписывающий обязан:
-
сохранять личный ключ в тайне;
117 -
предоставлять центру сертификации ключей данные в соответствии с требованиями статьи 6 этого Закона для засвидетельствования действия открытого ключа;
-
своевременно предоставлять центру сертификации ключей информацию об изменении данных, отображенных в сертификате ключа. Статья 8. Центр сертификации ключей Центром сертификации ключей может быть юридическое лицо независимо от формы
собственности или физическое лицо, являющееся субъектом предпринимательской деятельности, которое предоставляет услуги электронной цифровой подписи и удостоверила свой открытый ключ в центральном удостоверяющем органе или удостоверяющем центре с соблюдением требований статьи 6 этого Закона. Обслуживание физических и юридических лиц осуществляется центром сертификации ключей на договорных началах. Центр сертификации ключей имеет право: -
предоставлять услуги электронной цифровой подписи и обслуживать сертификаты ключей;
-
получать и проверять информацию, необходимую для регистрации подписывающих и формирования сертификата ключа непосредственно у юридического или физического лица или у его уполномоченного представителя. Центр сертификации ключей обязан:
-
обеспечивать защиту информации в автоматизированных системах в соответствии с законодательством;
-
обеспечивать защиту персональных данных, полученных от подписывающего, в соответствии с законодательством;
-
устанавливать во время формирования сертификата ключа принадлежность открытого ключа и соответствующего личного ключа подписывающему;
-
своевременно отменять, блокировать и возобновлять сертификаты ключей в случаях, предусмотренных этим Законом;
-
своевременно предупреждать подписывающего и добавлять в сертификат открытого ключа подписывающего информацию об ограничениях использования электронной цифровой подписи, которые устанавливаются для обеспечения возможности возмещение убытков сторон в случае причинения вреда со стороны центра сертификации ключей;
-
проверять законность обращений об отмене, блокировании и возобновлении сертификатов ключей и сохранять документы, на основании которых были отменены, блокированы и возобновлены сертификаты ключей;
118 -
круглые сутки принимать заявления об отмене, блокировании и возобновлении сертификатов ключей;
-
вести электронный перечень действующих, отмененных и блокированных сертификатов ключей;
-
обеспечивать
круглосуточный
соответствующих
доступ
электронных
пользователей
перечней
к
сертификатов
сертификатам через
ключей
и
общедоступные
телекоммуникационные каналы; -
обеспечивать сохранение сформированных сертификатов ключей на протяжении срока, предусмотренного законодательством для сохранения соответствующих документов на бумаге;
-
предоставлять консультации по вопросам, связанным с электронной цифровой подписью. Сохранение личных ключей подписывающих и ознакомление с ними в центре
сертификации ключей запрещаются. Статья 9. Аккредитованный центр сертификации ключей Центр сертификации ключей, аккредитованный в установленном порядке, является аккредитованным центром сертификации ключей. Аккредитованный центр сертификации ключей имеет право: - предоставлять услуги электронной цифровой подписи и обслуживать исключительно усиленные сертификаты ключей; - получать и проверять информацию, необходимую для регистрации подписывающего и формирования усиленного сертификата ключа, непосредственно у юридического или физического лица или его представителя. Аккредитованный центр сертификации ключей должен выполнять все обязательства и требования,
установленные
законодательством
для
центра
сертификации
ключей,
и
дополнительно обязан использовать для предоставления услуг электронной цифровой подписи надежные средства электронной цифровой подписи. Порядок аккредитации и требования, которым должен отвечать аккредитованный центр сертификации ключей, устанавливаются Кабинетом Министров Украины. Статья 10. Удостоверяющий центр Кабинет Министров Украины по необходимости определяет удостоверяющий центр центрального органа исполнительной власти для обеспечения регистрации, засвидетельствования действия открытых ключей и аккредитации группы центров сертификации ключей, которые
119 предоставляют услуги электронной цифровой подписи этому органу и подчиненным ему предприятиям, учреждениям и организациям. Другие государственные органы при необходимости, по согласованию с Кабинетом Министров
Украины, определяют свои удостоверяющие центры,
предназначенные для
выполнения функций, указанных в части первой этой статьи. Удостоверяющий центр по отношению к группе центров сертификации ключей, указанных в части первой этой статьи, имеет те же функции и полномочия, что и центральный удостоверяющий орган относительно центров сертификации ключей. Удостоверяющий центр отвечает требованиям, установленным законодательством для аккредитованного центра сертификации ключей. Удостоверяющий
центр
регистрируется,
удостоверяет
свой
открытый
ключ
и
аккредитуется в центральном удостоверяющем органе. Положение об удостоверяющем центре центрального органа исполнительной власти утверждается Кабинетом Министров Украины. Статья 11. Центральный удостоверяющий орган Центральный удостоверяющий орган определяется Кабинетом Министров Украины. Центральный удостоверяющий орган: -
формирует и выдает усиленные сертификаты ключей удостоверяющим центрам и центрам сертификации ключей с соблюдением требований статьи 6 этого Закона;
-
блокирует, отменяет и возобновляет усиленные сертификаты ключей удостоверяющих центров и центров сертификации ключей в случаях, предусмотренных этим Законом;
-
ведет электронные реестры действующих, блокированных и отмененных усиленных сертификатов ключей удостоверяющих центров и центров сертификации ключей;
-
ведет аккредитацию центров сертификации ключей, получает и проверяет информацию, необходимую для их аккредитации;
-
обеспечивает круглосуточный доступ удостоверяющих центров и центров сертификации ключей к усиленным сертификатам ключей и соответствующим электронным реестрам через общедоступные телекоммуникационные каналы;
-
сохраняет усиленные сертификаты ключей удостоверяющих центров и центров сертификации ключей;
-
предоставляет удостоверяющим центрам и центрам сертификации ключей консультации по вопросам, связанным с использованием электронной цифровой подписи. Центральный
удостоверяющий
орган
отвечает
требованиям,
законодательством для аккредитованного центра сертификации ключей.
установленным
120 Положение
о
центральном
удостоверяющем
органе
утверждается
Кабинетом
Министров Украины. Статья 13. Отмена, блокирование и возобновление усиленного сертификата ключа Аккредитованный центр сертификации ключей немедленно отменяет сформированный им усиленный сертификат ключа в случае: -
окончания срока действия сертификата ключа;
-
представления заявления собственника ключа или его уполномоченного представителя;
-
прекращения деятельности юридического лица - собственника ключа;
-
смерти физического лица - собственника ключа или объявления его умершим по решению суда;
-
признания собственника ключа недееспособным по решению суда;
-
предоставления собственником ключа недостоверных данных;
-
компрометации личного ключа. Центральный удостоверяющий орган немедленно отменяет усиленный сертификат ключа
центра сертификации ключей, удостоверяющего центра в случае: -
прекращения деятельности по предоставлению услуг электронной цифровой подписи;
-
компрометации личного ключа. Центральный удостоверяющий орган, удостоверяющий центр, аккредитованный центр
сертификации ключей немедленно блокируют усиленный сертификат ключа: -
в
случае
представления
заявления
собственника
ключа
или
его
уполномоченного
представителя; -
по решению суда, которое вступило в законную силу;
-
в случае компрометации личного ключа. Отмена и блокирование усиленного сертификата ключа вступает в силу с момента внесения
в реестр действующих, отмененных и блокированных усиленных сертификатов с указанием даты и времени осуществление этой операции. Центральный удостоверяющий орган, удостоверяющий центр, аккредитованный центр сертификации ключей немедленно сообщают об отмене или блокировании усиленного сертификата ключа его собственника. Блокированный усиленный сертификат ключа возобновляется: -
в
случае
представления
заявления
собственника
ключа
или
его
уполномоченного
представителя; -
по решению суда, которое вступило в законную силу;
-
в случае установления недостоверности данных о компрометации личного ключа.
121 3.1.5 Требования Закона Украины "О банках и банковской деятельности" Статья 60. Банковская тайна Информация относительно деятельности и финансового состояния клиента, ставшая известной банку в процессе обслуживания клиента и взаимоотношений с ним или третьим лицам при предоставлении услуг банку и разглашение которой может нанести материальный или моральный вред клиенту, является банковской тайной. Банковской тайной, в частности, являются: 1) сведения о состоянии счетов клиентов, в том числе состояние корреспондентских счетов банков в Национальном банке Украины; 2) операции, которые были проведены в пользу или по доверенности клиента, заключенные им соглашения; 3) финансово-экономическое состояние клиентов; 4) системы охраны банка и клиентов; 5) информация об организационно-правовой структуре юридического лица - клиента, его руководителях, направления деятельности; 6) сведения относительно коммерческой деятельности клиентов или коммерческой тайны, любого проекта, изобретений, образцов продукции и другая коммерческая информация; 7) информация относительно отчетности по отдельному банку, за исключением той, которая подлежит опубликованию; 8) коды, которые используются банками для защиты информации. Информация о банках или клиентах, которые собирается во время проведения банковского надзора, составляет банковскую тайну. Положение этой статьи не распространяются на обобщенную по банкам информацию, которая подлежит опубликованию. Перечень информации, которая подлежит обязательному опубликованию, устанавливается Национальным банком Украины и дополнительно самим банком на его усмотрение. Статья 61. Обязательства относительно сохранения банковской тайны Банки обязаны обеспечить сохранение банковской тайны путем: 1) ограничения круга лиц, которые имеют доступ к информации, составляющей банковскую тайну; 2) организации специального делопроизводства для документов, содержащих банковскую тайну; 3) применения технических средств для предотвращения несанкционированного доступа к электронным и другим носителям информации;
122 4) использования
предостережений
относительно
сохранения
банковской
тайны
и
ответственности за ее разглашение в договорах и соглашениях между банком и клиентом. Служащие банка при вступлении в должность подписывают обязательства по сохранению банковской тайны. Руководители и служащие банков обязаны не разглашать и не использовать с выгодой для себя или для третьих лиц конфиденциальную информацию, которая стала известна им при выполнении своих служебных обязанностей. Частные лица и организации, которые при выполнении своих функций или предоставлении услуг банку непосредственно или опосредствованно получили конфиденциальную информацию, обязаны не разглашать эту информацию и не использовать ее в свою пользу или в пользу третьих лиц. В случае причинения банку или его клиенту убытков путем утечки информации о банках и их клиентах из органов, уполномоченных осуществлять банковский надзор, убытки возмещаются виновными органами. 3.1.6 Требования Закона Украины "О платежных системах и переводе денег в Украине" Статья 5. Субъекты перевода денег 5.1. Субъектами правовых отношений, которые возникают при выполнении перевода денег, являются члены и участники платежных систем. 5.2. Отношения между субъектами перевода регулируются на основании договоров, заключенных между ними с учетом требований законодательства Украины. Статья 9. Общие основы функционирования платежных систем в Украине 9.1. Обработка и передача в границах Украины электронных и бумажных документов на перевод, документов по операциям с применением специальных платежных средств и документов на отзыв могут осуществляться с помощью как внутригосударственных, так и международных платежных систем, которые действуют в Украине. 9.2.
Порядок
деятельности
платежной
системы
определяется
ее
правилами,
установленными платежной организацией соответствующей платежной системы. 9.2.1. Правила платежной системы (кроме внутрибанковских платежных систем) должны устанавливать организационную структуру платежной системы, условия членства, порядок вступления и выхода из системы, принцип выполнения документов на перевод, согласно определенным пунктом 9.5 этой статьи, отзыва документов на перевод, порядок решения споров, управление рисками в системе, систему страхования, систему защиты информации, порядок проведения реконсиляции и прочие положения, определенные платежной организацией.
123 9.2.2. Правила соответствующей платежной системы, а также договоры, которые заключаются между участниками этой платежной системы (кроме внутрибанковских платежных систем), должны предусматривать порядок урегулирования неплатежеспособности и других случаев неспособности выполнение членами платежной системы своих обязательств. 9.2.3.
Банк
определяет
условия
и
порядок
функционирования
собственной
внутрибанковской платежной системы с учетом требований закона и нормативно-правовых актов Национального банка Украины. 9.3. Правила внутригосударственной платежной системы должны быть согласованы платежной организацией этой внутригосударственной платежной системы с Национальным банком Украины. 9.4. При проведении перевода платежные системы имеют право осуществлять взаимозачет на основе клиринга или выполнять каждый документ на перевод в отдельности. 9.5. Для формирования и обработки документов по операциям с применением специальных платежных средств, документов на перевод, документов на отзыв платежные системы, а также отдельные банки имеют право использовать специальные платежные средства, идентификаторы держателя специального платежного средства, программно-технические средства, системы защиты информации и телекоммуникационные каналы связи. Порядок использования платежными системами, а также отдельными банками платежных инструментов,
программно-технических
средств,
систем
защиты
информации
и
телекоммуникационных каналов связи определяется правилами этих систем и соответствующими договорами, с учетом требований закона и нормативно-правовых актов Национального банка Украины. Статья 10. Внутригосударственные платежные системы 10.1. В Украине могут создаваться внутригосударственные банковские и небанковские платежные системы. 10.2. К внутригосударственным банковским платежным системам относятся системы межбанковских расчетов, системы массовых платежей и внутрибанковские платежные системы. 10.2.1. Система межбанковских расчетов предназначена для перевода денег в границах Украины между банками для выполнения обязательств их клиентов, а также собственных обязательств этих банков. 10.2.2. Внутрибанковская платежная система создается банком с целью обеспечения наиболее благоприятных условий для проведения перевода денег между его подразделениями.
124 10.2.3. Система массовых платежей предназначена для перевода денег по операциям, которые осуществляются юридическими и физическими лицами с применением платежных инструментов, кроме определенных пунктами 10.2.1 и 10.2.2 этой статьи. 10.3. Внутригосударственные небанковские платежные системы имеют право осуществлять деятельность, связанную с переводом, исключительно после их регистрации в Национальном банке Украины и получения соответствующего разрешения Национального банка Украины. Порядок регистрации и получения внутригосударственными небанковскими платежными системами разрешения на осуществление деятельности, связанной с переводом, определяется Национальным банком Украины. Статья 11. Система электронных платежей Национального банка Украины (СЭП НБУ) 11.1. Система электронных платежей Национального банка Украины (СЭП НБУ) - это государственная система межбанковских расчетов. 11.2. Необходимым условием для проведения перевода через СЭП НБУ является установление банком корреспондентских отношений с Национальным банком Украины путем открытия корреспондентского счета в Национальном банке Украины. 11.3. Порядок функционирования СЭП НБУ, принятия и исключения из ее членов, проведения перевода с помощью этой системы и прочие вопросы, связанные с деятельностью СЭП НБУ, определяются Национальным банком Украины. Национальный банк Украины регламентирует и обеспечивает функционирование СЭП НБУ, гарантирует ее надежность и безопасность, организовывает и принимает участие в проведении через нее межбанковского перевода. Статья 12. Международные платежные системы в Украине 12.1. Банки, клиринговые учреждения, а также другие учреждения, которые предоставляют финансовые
услуги,
имеют
право
заключать
договора
с
платежными
организациями
международных платежных систем о членстве или об участии в этих системах после получения ими соответствующего разрешения Национального банка Украины. Порядок получения указанного разрешения определяется Национальным банком Украины. Решение относительно предоставления разрешения или отказа в его предоставлении может быть принято Национальным банком Украины в срок до одного месяца с даты получения надлежащим образом оформленного обращения учреждения, указанного в абзаце первом этого пункта. Статья 13. Порядок применения платежных инструментов
125 13.1. Порядок выполнения операций с применением платежных инструментов, в том числе ограничения относительно этих операций, определяются законами Украины и нормативноправовыми актами Национального банка Украины. Статья 14. Специальные платежные средства 14.1. Специальное платежное средство может существовать в любой форме на любом, кроме бумажного, носителе, который позволяет сохранять информацию, необходимую для инициирования перевода. 14.2. Специальное платежное средство должно позволять идентифицировать его держателя. 14.3. Специальное платежное средство должно отвечать требованиям по защите информации, предусмотренным этим Законом и другими нормативно-правовыми актами. 14.4. Специальное платежное средство может передаваться в собственность или предоставляться в пользование клиенту в порядке, определенном договором с эмитентом. 14.5. Держатель специального платежного средства обязан использовать его согласно требованиям законодательства Украины и условий договора, заключенного с эмитентом, и не допускать использования специального платежного средства лицами, которые не имеют на это права или полномочий. 14.6. В случае потери специального платежного средства его держатель должен немедленно сообщить об этом эмитенту. В противном случае эмитент не несет ответственности за перевод денег, инициированный до получения такого сообщения с помощью этого специального платежного средства, если иное не предусмотрено договором. Статья 15. Платежная карточка 15.1. Операции с платежными карточками осуществляются с учетом требований, установленных законами Украины и нормативно-правовыми актами Национального банка Украины. 15.2. Платежная карточка является собственностью эмитента и предоставляется им клиенту согласно условиям договора, за исключением предварительно оплаченных платежных карточек, которые могут продаваться эмитентами без обязательного оформления договора в письменной форме. 15.3. Эмиссия платежных карточек в границах Украины проводится исключительно банками, которые имеют лицензию Национального банка Украины на осуществление таких операций.
126 15.4. Порядок проведения эмиссии платежных карточек и осуществления с ними операций, в том числе ограничения относительно этих операций, определяются Национальным банком Украины согласно требованиям законодательства Украины. 15.5. Вид платежной карточки, которая эмитируется банком, тип ее носителя идентификационных данных (магнитная полоса, микросхема и т.п.), реквизиты, которые наносятся на нее в графическом виде, определяются платежной организацией соответствующей платежной системы, в которой эта карточка применяется. Обязательными реквизитами, которые наносятся на платежную карточку, являются реквизиты, которые дают возможность идентифицировать платежную систему и эмитента. Платежные карточки внутригосударственных платежных систем должны содержать идентификационный номер эмитента, определенный в порядке, установленном Национальным банком Украины. Национальный банк Украины ведет официальный реестр идентификационных номеров эмитентов платежных карточек внутригосударственных платежных систем. 15.6. Эквайринг в границах Украины осуществляется исключительно юридическими лицами - резидентами, которые заключили договор с платежной организацией. 15.7. В границах Украины перевод по операциям, которые инициированы с применением платежных карточек, выполняется только в денежной единице Украины. Статья 16. Документы на перевод 16.1. К документам на перевод относятся расчетные документы, документы на перевод денежной наличности, межбанковские расчетные документы, клиринговые требования и прочие документы, которые используются в платежных системах для инициирования перевода. Статья 17. Порядок оформления документов при проведении перевода 17.1. Формы расчетных документов, документов на перевод денежной наличности для банков, а также межбанковских расчетных документов устанавливаются Национальным банком Украины. Формы документов на перевод, которые используются в небанковских платежных системах для инициирования перевода, устанавливаются правилами платежных систем. Реквизиты электронных и бумажных документов на перевод, особенности их оформления, обработки и защиты устанавливаются Национальным банком Украины. Формы документов по операциям с применением специальных платежных средств и других документов, которые используются в платежных системах для инициирования перевода, устанавливаются правилами платежных систем и должны содержать обязательные реквизиты, установленные Национальным банком Украины.
127 17.2. Документ на перевод может быть бумажным или электронным. Требования к средствам формирования и обработки документов на перевод определяются Национальным банком Украины. Документы по операциям с применением специальных платежных средств и других документов, которые используются в платежных системах для инициирования перевода, могут быть бумажными и электронными. Требования к средствам формирования документов по операциям с применением специальных платежных средств определяются платежной системой с учетом требований, установленных Национальным банком Украины. Статья 18. Правовой статус электронного документа и электронной цифровой подписи 18.1. Электронный документ имеет одинаковую юридическую силу с бумажным документом. 18.2. Электронная цифровая подпись на электронном документе имеет одинаковую юридическую силу с подписью на бумажном документе. Ответственность за достоверность информации, которая помещается в реквизитах электронного документа, несет лицо, которое подписало этот документ электронной цифровой подписью. 18.3. Электронная цифровая подпись является обязательным реквизитом электронного документа. Электронный документ на перевод, который не удостоверен электронной цифровой подписью, не принимается к выполнению. При этом при приеме электронных документов на перевод должна быть соблюдена соответствующая процедура проверки электронной цифровой подписи, которая дает возможность убедиться в целостности и достоверности электронного документа. В случае несоблюдения указанных требований банк или другое учреждение - член платежной системы несут ответственность за вред, причиненный субъектам перевода. 18.4. Оригиналом электронного документа является экземпляр, подписанный электронной цифровой подписью. Оригинал электронного документа и его бумажная копия, заверенная в установленном порядке, имеют одинаковую юридическую силу. Статья 19. Сохранение электронных документов и архивы электронных документов 19.1. Порядок и сроки сохранения, а также процедура уничтожения электронных документов, которые применяются при проведении перевода, устанавливаются Национальным банком Украины. Сроки сохранения этих документов должны быть не меньшими, чем сроки, установленные для бумажных документов аналогичного назначения.
128 19.2. Электронные документы сохраняются на носителях информации в форме, которая позволяет проверить целостность электронных документов на этих носителях. В случае невозможности сохранения электронных документов в течение времени, установленного для соответствующих бумажных документов, должны быть применены мероприятия по дублированию этих электронных документов на нескольких носителях информации и их периодическое копирование. Копирование электронных документов с целью их дальнейшего сохранения может осуществляться в соответствии с существующим в учреждениях порядком учета и копирования документов. При копировании электронного документа с носителя информации обязательно должна быть выполнена проверка целостности данных на этом носителе. В случае невозможности сохранения электронных документов с обеспечением целостности данных на носителях информации в течение срока, установленного для бумажных документов, электронные документы должны сохраняться в виде заверенной учреждением бумажной копии. 19.3. Создание архивов электронных документов, передача электронных документов в архивные учреждения Украины и их сохранение в этих учреждениях осуществляются в порядке, установленном законодательством Украины. Статья 22. Инициирование перевода с помощью расчетных документов 22.1. Инициирование перевода осуществляется по таким видам расчетных документов: 1) платежное поручение; 2) платежное требование-поручение; 3) расчетный чек; 4) платежное требование. Национальный банк Украины имеет право устанавливать другие виды расчетных документов. 22.2. Клиент банка имеет право самостоятельно выбирать виды расчетного документа (кроме платежного требования), которые определены этим Законом, для инициирования перевода. Платежное требование применяется в случаях, если инициатором перевода выступает взыскатель или, при договорном списании, получатель. 22.3. Расчетные документы, за исключением платежного требования-поручения, должны подаваться инициатором в банк, который его обслуживает. Платежное требование-поручение передается получателем денег непосредственно плательщику. Доставка платежного требованияпоручения плательщику может осуществляться банком, который обслуживает получателя денег, через банк, который обслуживает плательщика, а также с помощью средств связи.
129 22.4. При использовании расчетного документа инициирование перевода считается завершенным с момента принятия банком плательщика расчетного документа на исполнение. Банки должны обеспечивать фиксирование даты принятия расчетного документа на исполнение. 22.5. Передача бумажных расчетных документов в банк может осуществляться клиентом лично, если иное не предусмотрен договором. Передача электронных расчетных документов может осуществляться клиентом как лично на носителях информации, так и с помощью предоставленных ему обслуживающим банком программно-технических средств, которые обеспечивают связь с программно-техническими средствами этого банка. Программно-технические средства с встроенной в них системой защиты информации должны отвечать требованиям, которые устанавливаются Национальным банком Украины. 22.6. Обслуживающий плательщика банк обязан проверить соответствие номера счета плательщика и его кода (идентификационного номера, при его наличии, и т.п.) и принимать этот документ к исполнению только в случае их совпадения. Кроме этого, обслуживающий плательщика банк проверяет полноту, целостность и достоверность этого расчетного документа в порядке, установленном Национальным банком Украины. В случае несоблюдения указанных требований ответственность за вред, причиненный плательщику, возлагается на банк, который обслуживает плательщика. Обслуживающий получателя банк обязан проверить соответствие номера счета получателя и его кода (идентификационного номера, при его наличии, и т.п.), которые содержатся в расчетном документе, и зачислять деньги на счет получателя исключительно в случае их совпадения. В противном случае банк, который обслуживает получателя, имеет право задержать сумму перевода на срок до двух рабочих дней для установления надлежащего получателя этих средств. В случае невозможности установления надлежащего получателя банк, который обслуживает получателя, обязан возвратить деньги, переведенные по этому документу, банку, который обслуживает плательщика, с указанием причины их возврата. В случае несоблюдения вышеупомянутого требования ответственность за вред, причиненный субъектам перевода, возлагается на банк, который обслуживает получателя. Статья 33. Ответственность плательщика при проведении перевода 33.1. Плательщик несет перед банком или другим учреждением - членом платежной системы, которая его обслуживают, ответственность, предусмотренную условиями заключенного между ними договора.
130 33.2. Плательщик несет ответственность за соответствие информации, указанной им в документе на перевод, сути операции, относительно которой осуществляется этот перевод. Плательщик должен возместить банку или другому учреждению - члену платежной системы вред, причиненный вследствие такого несоответствия информации. 33.3. Плательщик обязан возместить вред, причиненный банку или другому учреждению члену платежной системы,
которая его обслуживают,
вследствие
несоблюдения этим
плательщиком требований относительно защиты информации и проведения незаконных операций с компонентами платежных систем (платежные инструменты, оборудование, программное обеспечение и т.п.). При этом банк или другое учреждение - член платежной системы, которая обслуживает плательщика, освобождается от ответственности перед плательщиком за проведение перевода. Статья 38. Требования по защите информации 38.1.
Система
защиты
информации
должна
обеспечивать
непрерывную
защиту
информации относительно перевода денег на всех этапах ее формирования, обработки, передачи и хранения. 38.2. Электронные документы, которые содержат информацию, которая относится к банковской тайне или является конфиденциальной, должны быть зашифрованы во время передачи их с использованием телекоммуникационных каналов связи. 38.3. Порядок защиты и использования средств защиты информации относительно перевода определяется законами Украины, нормативно-правовыми актами Национального банка Украины и правилами платежных систем. 38.4. Защита информации обеспечивается субъектами перевода денег путем обязательного внедрения и использование соответствующей системы защиты, которая состоит из: 1) законодательных актов Украины и других нормативно-правовых актов, а также внутренних нормативных актов субъектов перевода, которые регулируют порядок доступа и работы с соответствующей информацией, а также ответственность за нарушение этих правил; 2) мероприятий охраны помещений, технического оснащения соответствующей платежной системы и персонала субъекта перевода; 3) технологических и программно-аппаратных средств криптографической защиты информации, которая обрабатывается в платежной системе. 38.5. Система защиты информации должна обеспечивать: 1) целостность информации, которая передается в платежной системе, и компонентов платежной системы;
131 2) конфиденциальность информации во время ее обработки, передачи и хранения в платежной системе; 3) невозможность отказа инициатора от факта передачи и получателя от факта принятия документа на перевод, документа по операциям с применением средств идентификации, документа на отзыв; 4) обеспечение постоянного и беспрепятственного доступа к компонентам платежной системы лицам, которые имеют на это право или полномочия, определенные законодательством Украины, а также установленные договором. 38.6. Разработка мероприятий охраны, технологических и программно-аппаратных средств криптографической
защиты
осуществляется
платежной
организацией
соответствующей
платежной системы или другим учреждением по ее заказу согласно законодательству Украины и требованиям, установленным Национальным банком Украины. Статья 39. Ответственность субъектов перевода за обеспечение защиты информации 39.1. Субъекты перевода обязаны выполнять установленные законодательством Украины и правилами
платежных
систем
требования
относительно
защиты
информации,
которая
обрабатывается с помощью этих платежных систем. Правила платежных систем должны предусматривать ответственность за нарушение этих требований с учетом требований законодательства Украины. 39.2. При проведении перевода его субъекты должны осуществлять в границах своих полномочий защиту соответствующей информации от: 1) несанкционированного доступа к информации - доступа к информации относительно перевода, которая является банковской тайной или является конфиденциальной информацией, лиц, которые не имеют на это прав или полномочий, определенных законодательством Украины, а также если это не установлено договором. К банковской тайне относится информация, определенная Законом Украины "О банках и банковской деятельности", а к конфиденциальной информации - информация, которая определяется другими законами. Взаимодействие между банками или другими учреждениями - участниками платежной системы и уполномоченными государственными органами относительно предоставления по письменным запросам этих органов информации в границах, необходимых для выполнения этими государственными органами своих функций, осуществляется путем предоставления справок в объемах, определенных законодательством Украины, и с учетом требований относительно банковской тайны и конфиденциальной информации;
132 2) несанкционированных изменений информации - внесения изменений или частичного или полного уничтожения информации относительно перевода лицами, которые не имеют на это права или полномочий, определенных законодательством Украины, а также установленных договором; 3) несанкционированных операций с компонентами платежных систем - использования или внесения изменений в компоненты платежной системы на протяжении ее функционирования лицами, которые не имеют на это права или полномочий, определенных законодательством Украины, а также установленных договором. 39.3. Субъекты перевода обязаны оповещать платежную организацию соответствующей платежной системы о случаях нарушения требований защиты информации. В случае выявления при этом признаков, которые могут свидетельствовать о совершении преступления, субъекты перевода и прочие участники платежных систем обязаны оповестить о таком случае нарушения требований защиты информации соответствующие правоохранительные органы. 39.4. Работники субъектов перевода должны выполнять требования по защите информации при осуществлении переводов, сохранять банковскую тайну и поддерживать конфиденциальность информации, которая используется в системе защиты этой информации. Работники субъектов перевода несут ответственность за ненадлежащее использование и хранение средств защиты информации, которые используются при выполнении переводов, согласно закону. 3.1.7 Требования Закона Украины "О защите персональных данных" Статья 1. Сфера действия Закона Данный Закон регулирует отношения, связанные с защитой персональных данных во время их обработки. Действие данного Закона не распространяется на деятельность по созданию баз персональных данных и обработки персональных данных в этих базах: физическим лицом - исключительно для непрофессиональных личных или бытовых потребностей; журналистом - в связи с выполнением им служебных или профессиональных обязанностей; профессиональным творческим работником - для осуществления творческой деятельности. Статья 2. Определение терминов база персональных данных - именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных; владелец базы персональных данных - физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных дано право на обработку этих данных,
133 которое утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуры их обработки, если иное не определенно законом; Государственный
реестр
баз
персональных
данных
-
единая
государственная
информационная система сбора, накопления и обработки сведений о зарегистрированных базах персональных данных; обезличивание персональных данных - исключения сведений, которые дают возможность идентифицировать лицо; обработка персональных данных - любое действие или совокупность действий, осуществленных полностью или частично в информационной (автоматизированной) системе и/или в картотеках персональных данных, которые связаны со сбором, регистрацией, накоплением,
хранением,
адаптацией,
изменением,
обновлением,
использованием
и
распространением (опубликованием, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице; персональные данные - сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано; распорядитель базы персональных данных - физическое или юридическое лицо, которому владельцем базы персональных данных или законом дано право обрабатывать эти данные; субъект персональных данных - физическое лицо, относительно которого в соответствии с законом осуществляется обработка его персональных данных; третье лицо - любое лицо, за исключением субъекта персональных данных, владельца или распорядителя базы персональных данных и уполномоченного государственного органа по вопросам защиты персональных данных, которому владельцем или распорядителем базы персональных данных осуществляется передача персональных данных в соответствии с законом. Статья 4. Субъекты отношений, связанных с персональными данными 1. Субъектами отношений, связанных с персональными данными, являются: субъект персональных данных; владелец базы персональных данных; распорядитель базы персональных данных; третье лицо; уполномоченный государственный орган по вопросам защиты персональных данных; другие органы государственной власти и органы местного самоуправления, к полномочиям которых относится обеспечение защиты персональных данных. 2. Владельцем или распорядителем базы персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государственной власти или органы
134 местного самоуправления, физические лица - предприниматели, которые обрабатывают персональные данные в соответствии с законом. 3. Распорядителем базы персональных данных, владельцем которой является орган государственной власти или орган местного самоуправления, кроме этих органов, может быть только предприятие государственной или коммунальной формы собственности, которое относится к сфере управления этого органа. Статья 5. Объекты защиты 1. Объектами защиты являются персональные данные, которые обрабатываются в базах персональных данных. 2. Персональные данные, кроме обезличенных персональных данных, по режиму доступа являются информацией с ограниченным доступом. 3. Законом может быть запрещено отнесение персональных данных определенных категорий граждан или их исчерпывающего перечня к информации с ограниченным доступом. 4. Персональные данные физического лица, которое претендует занять или занимает выборную должность (в представительских органах) или должность государственного служащего первой категории, не принадлежат к информации с ограниченным доступом, за исключением информации, которая определена такой в соответствии с законом. Статья 6. Общие требования к обработке персональных данных 1. Цель обработки персональных данных должна быть сформулирована в законах, других нормативно-правовых актах, положениях, учредительных или других документах, которые регулируют деятельность владельца базы персональных данных, и отвечать законодательству о защите персональных данных. В случае изменения определенной цели обработки персональных данных субъектом персональных данных должно быть предоставленное согласие на обработку его данных в соответствии с измененной целью. 2. Персональные данные должны быть точными, достоверными, в случае необходимости обновляться. 3. Состав и содержание персональных данных должны соответствовать и быть нечрезмерным относительно определенной цели их обработки. Объем персональных данных, которые могут быть включены в базу персональных данных, определяется условиями согласия субъекта персональных данных или в соответствии с законом. 4. Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписаны им документы; сведения, которые лицо предоставляет о себе.
135 5. Обработка персональных данных осуществляется для конкретных и законных целей, определенных при согласии субъекта персональных данных, или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством. 6. Не допускается обработка данных о физическом лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. 7. Если обработка персональных данных является необходимой для защиты жизненно важных интересов субъекта персональных данных, обрабатывать персональные данные без его согласия можно до времени, когда получение согласия станет возможным. 8. Персональные данные обрабатываются в форме, которая допускает идентификацию физического лица, которого они касаются, в срок, не больший, чем это необходимо в соответствии с их законным назначением. 9. Использование персональных данных в исторических, статистических или научных целях может осуществляться лишь в обезличенном виде. 10. Типовой порядок обработки персональных данных в базах персональных данных утверждается уполномоченным государственным органом по вопросам защиты персональных данных. Порядок обработки персональных данных, которые относятся к банковской тайне, утверждается Национальным банком Украины. Статья 8. Права субъекта персональных данных 2. Субъект персональных данных имеет право: 1) знать о местонахождении базы персональных данных, которая содержит его персональные данные, ее назначении и наименовании, местонахождения и/или местожительстве (пребывании) владельца или распорядителя этой базы или дать соответствующее поручение относительно получения этой информации уполномоченным им лицам, кроме случаев, установленных законом; 2) получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные, содержащиеся в соответствующей базе персональных данных; 3) на доступ к своим персональным данным, которые содержатся в соответствующей базе персональных данных; 4) получать не позднее чем через тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, хранятся ли его персональные данные в
136 соответствующей базе персональных данных, а также получать содержание его хранящихся персональных данных; 5) предъявлять мотивированное требование с отказом от обработки своих персональных данных органами государственной власти, органами местного самоуправления при осуществлении их полномочий, предусмотренных законом; 6) предъявлять мотивируемое требование относительно изменения или уничтожения своих персональных данных любым владельцем и распорядителем этой базы, если эти данные обрабатываются незаконно или являются недостоверными; 7) на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с преднамеренным укрывательством, непредоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются
недостоверными
или
подрывают
честь,
достоинство и деловую репутацию физического лица; 8) обращаться по вопросам защиты своих прав относительно персональных данных к органам государственной власти, органам местного самоуправления, к полномочиям которых относится обеспечение защиты персональных данных; 9) использовать средства правовой защиты в случае нарушения законодательства о защите персональных данных. Статья 9. Регистрация баз персональных данных 1. База персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных. Положение о Государственном реестре баз персональных данных и порядке его ведения утверждаются Кабинетом Министров Украины. 2. Регистрация баз персональных данных осуществляется по заявительному принципу путем сообщения. 3. Заявление о регистрации базы персональных данных подается владельцем базы персональных данных
уполномоченному государственному органу по вопросам защиты
персональных данных. Заявление должно содержать: … подтверждение обязательства относительно выполнения требований защиты персональных данных, установленных законодательством о защите персональных данных. 4. Уполномоченный государственный орган по вопросам защиты персональных данных в порядке, утвержденном Кабинетом Министров Украины:
137 сообщает заявителю не позднее следующего рабочего дня со дня поступления заявления о его получении; принимает решение о регистрации базы персональных данных в течение десяти рабочих дней со дня поступления заявления. Владельцу базы персональных данных выдается документ установленного образца о регистрации базы персональных данных в Государственном реестре баз персональных данных. 5. Уполномоченный государственный орган по вопросам защиты персональных данных отказывает в регистрации базы персональных данных, если заявление о регистрации не отвечает требованиям части третьей настоящей статьи. Статья 10. Использование персональных данных 1. Использование персональных данных предусматривает любые действия владельца базы по обработке этих данных, действия по их защите, а также действия по предоставлению частичного или полного права обработки персональных данных другим субъектам отношений, связанных
с
персональными
данными,
которые
осуществляются
при согласии субъекта персональных данных или в соответствии с законом. 2. Использование персональных данных владельцем базы осуществляется в случае создания им условий для защиты этих данных. Владельцу базы запрещается разглашать сведения относительно субъектов персональных данных, доступ к персональным данным которых предоставляется другим субъектам отношений, связанных с такими данными. 3. Использование персональных данных работниками субъектов отношений, связанных с персональными данными, должно осуществляться лишь в соответствии с их профессиональными или служебными или трудовыми обязанностями. Эти работники обязаны не допускать разглашения любым способом персональных данных, которые им были доверены или которые стали известны в связи с выполнением профессиональных или служебных или трудовых обязанностей. Такое обязательство действует и после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных законом. Статья 12. Сбор персональных данных 1. Сбор персональных данных является составляющей процесса их обработки и предполагает действия по подбору или упорядочению сведений о физическом лице и внесении их в базу персональных данных. 2. Субъект персональных данных в течение десяти рабочих дней со дня включения его персональных данных в базу персональных данных оповещается о своих правах, определенных
138 данным Законом, цели сбора данных и лиц, которым передаются его персональные данные, исключительно в письменной форме. 3.
Оповещение
не
осуществляется,
если
персональные
данные
собираются
из
общедоступных источников. 4. Собранные сведения о субъекте персональных данных, а также информация об их источниках предоставляются этому субъекту персональных данных по его требованию, кроме случаев, установленных законом. Статья 13. Накопление и хранение персональных данных 1. Накопление персональных данных предусматривает действия по объединению и систематизации сведений о физическом лице или группе физических лиц или внесении этих данных в базу персональных данных. 2. Хранение персональных данных предусматривает действия по обеспечению их целостности и соответствующего режима доступа к ним. Статья 14. Распространение персональных данных 1. Распространение персональных данных предусматривает действия по передаче сведений о физическом лице из баз персональных данных при согласии субъекта персональных данных. 2. Распространение персональных данных без согласия субъекта персональных данных или уполномоченного им лица позволяется в случаях, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. 3. Выполнение требований установленного режима защиты персональных данных обеспечивает сторона, которая распространяет эти данные. 4. Сторона, которой передаются персональные данные, должна предварительно принять меры относительно обеспечения требований данного Закона. Статья 15. Уничтожение персональных данных 1. Персональные данные в базах персональных данных уничтожаются в порядке, установленном в соответствии с требованиями закона. 2. Персональные данные в базах персональных данных подлежат уничтожению в случае: 1) окончания срока хранения данных, определенного согласием субъекта персональных данных на обработку этих данных или законом; 2) прекращения правоотношений между субъектом персональных данных и владельцем или распорядителем базы, если иное не предусмотрено законом; 3) вступления в законную силу решения суда относительно исключения данных о физическом лице из базы персональных данных.
139 3. Персональные данные, собранные с нарушением требований данного Закона, подлежат уничтожению в базах персональных данных в установленном законодательством порядке. 4. Персональные данные, собранные во время выполнения заданий оперативно-розыскной или контрразведывательной деятельности, борьбы с терроризмом, уничтожаются в базах персональных данных в соответствии с требованиями закона. Статья 16. Порядок доступа к персональным данным 1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных, предоставленного владельцу базы персональных данных на обработку этих данных, или в соответствии с требованиями закона. 2. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается принять на себя обязательство относительно обеспечения выполнения требований данного Закона или не в состоянии их обеспечить. Статья 20. Изменения и дополнения в персональные данные 1. Владельцы или распорядители баз персональных данных обязаны вносить изменения в персональные данные на основании мотивированного письменного требования субъекта персональных данных. 2. Разрешается внесение изменений в персональные данные по запросу других субъектов отношений, связанных с персональными данными, если на это имеется согласие субъекта персональных данных или соответствующее изменение осуществляется по решению суда, вступившему в законную силу. 3. Изменение персональных данных, которые не соответствуют действительности, проводится безотлагательно с момента выявления несоответствия. Статья 21. Оповещение о действиях с персональными данными 1. О передаче персональных данных третьему лицу владелец базы персональных данных в течение десяти рабочих дней сообщает субъекту персональных данных, если этого требуют условия его согласия или иное не предусмотрено законом. 2. Оповещение, указанное в части первой настоящей статьи, не осуществляются в случае: 1) передачи персональных данных по запросами при выполнении заданий оперативноразыскной или контрразведывательной деятельности, борьбы с терроризмом; 2) выполнения органами государственной власти и органами местного самоуправления своих полномочий, предусмотернных законом;
140 3) осуществления обработки персональных данных в исторических, статистических или научных целях. 3. Об изменении или уничтожении персональных данных или ограничении доступа к ним владелец базы персональных данных в течение десяти рабочих дней сообщает субъекту персональных данных, а также субъектам отношений, связанных с персональными данными, которым эти данные были переданы. Статья 22. Контроль за соблюдением законодательства о защите персональных данных 1. Контроль за соблюдением законодательства о защите персональных данных в пределах полномочий, предусмотренных законом, осуществляют такие органы: 1) уполномочен государственный орган по вопросам защиты персональных данных; 2) другие органы государственной власти и органы местного самоуправления. Статья 23. Уполномоченный государственный орган по вопросам защиты персональных данных 1. Уполномоченный государственный орган по вопросам защиты персональных данных центральный орган исполнительной власти, к полномочиям которого относится защита персональных данных, созданный в соответствии с законодательством. 2. Уполномоченный государственный орган по вопросам защиты персональных данных: 1) обеспечивает реализацию государственной политики в сфере защиты персональных данных; 2) регистрирует базы персональных данных; 3) ведет Государственный реестр баз персональных данных; 4) осуществляет в пределах своих полномочий контроль за соблюдением требований законодательства о защите персональных данных с обеспечением в соответствии с законом доступа к информации, связанной с обработкой персональных данных в базе персональных данных, и к помещениям, где осуществляется их обработка; 5) выдает обязательные для выполнения законные требования (предписания) об устранении нарушений законодательства о защите персональных данных; 6) рассматривает предложения, запросы, обращения, требования и жалобы физических и юридических лиц; 7) организует и обеспечивает взаимодействие с иностранными субъектами отношений, связанных с персональными данными; 8) участвует в работе международных организаций по вопросам защиты персональных данных.
141 Статья 24. Обеспечение защиты персональных данных в базах персональных данных 1. Государство гарантирует защиту персональных данных. 2. Субъекты отношений, связанных с персональными данными, обязаны обеспечить защиту этих данных от незаконной обработки, а также от незаконного доступа к ним. 3. Обеспечение защиты персональных данных в базе персональных данных возлагается на владельца этой базы. 4. Владелец базы персональных данных в электронной форме обеспечивает ее защиту в соответствии с законом. 5. В органах государственной власти и органах местного самоуправления, организациях, учреждениях и
на
предприятиях
всех
форм
собственности
определяется
структурное
подразделение или ответственное лицо, которое организует работу, связанную с защитой персональных данных при их обработке, в соответствии с законом. 6.
Физические лица -
предприниматели, в
том
числе врачи,
которые имеют
соответствующую лицензию, адвокаты, нотариусы лично обеспечивают защиту баз персональных данных, которыми они владеют, в соответствии с требованиям закона.
142 3.2 Особенности построения СЗИ в системах электронной почты 3.2.1 Назначение, состав и архитектура систем электронной почты Система ЭП – система передачи текстовых или графических сообщений (сообщений ЭП) между компьютерами с использованием вычислительных сетей. Система ЭП (рис. 3.1) относится к системам распределенной двухуровневой архитектуры. Основными компонентами системы ЭП являются: -
сервер системы ЭП – сервер приложений, реализующий функции управления пересылкой сообщений электронной почты между пользователями и/или хранением этих сообщений;
-
клиент системы ЭП – приложение, функционирующее на компьютере пользователя и управляющее созданием, отправкой и приемом сообщений электронной почты. В общем случае в состав системы ЭП могут также входить следующие типовые
компоненты ИТС: ФС ЛВС, РС ЛВС, устройства коммутации, устройства маршрутизации, каналы передачи данных.
Сеть передачи данных
Сервер системы ЭП
Клиент системы ЭП
...
Сервер системы ЭП
Клиент системы ЭП
Клиент системы ЭП
Рис. 3.1 Архитектура системы ЭП
...
Клиент системы ЭП
143 Особенность системы ЭП – возможны два варианта организации функционирования системы ЭП в части организации взаимодействия с распределенной сетью передачи данных: -
корпоративный вариант – в организации- пользователе ЭП функционирует собственный сервер ЭП, с которым по каналам внутрикорпоративной ЛВС взаимодействуют пользователи ЭП. Сервер ЭП по каналу передачи данных (как правило, выделенному и с достаточно высокой пропускной способностью) взаимодействует с другими серверами ЭП, подключенными к распределенной сети передачи данных;
-
индивидуальный вариант – пользователи ЭП взаимодействуют по каналам передачи данных (как правило, коммутируемым, с относительно низкой пропускной способностью) с сервером ЭП, принадлежащем организации - провайдеру услуги ЭП. Сервер ЭП организации – провайдера услуги ЭП по каналам передачи данных (как правило, выделенном и с достаточно высокой
пропускной
способностью)
взаимодействует
с
другими
серверами
ЭП,
подключенными к глобальной сети передачи данных. С точки зрения остальных пользователей ЭП, не подключенных к данной организации - провайдеру, организация - провайдер вместе со своими пользователями представляет собой некую "виртуальную корпорацию", подключенную по корпоративному варианту. Использование того или иного варианта подключения может влиять на возможности потенциального нарушителя, а также на потенциально применимый в конкретных условиях перечень средств защиты информации, которые могут быть включены в состав КСЗ СЗИ в системе ЭП. 3.2.2 Угрозы информации, характерные для систем ЭП. Модель потенциального нарушителя в системах ЭП 3.2.2.1 Анализ системы ЭП как объекта защиты и определение защищаемых информационных ресурсов Основными информационными ресурсами, подлежащими защите в системах ЭП (информационными активами), являются передаваемые между пользователями сообщения ЭП. Данные ресурсы могут быть представлены в виде информационных объектов - сообщений ЭП (в процессе передачи), информационных объектов - файлов (в процессе хранения на РС клиентов системы ЭП, на ФС ЛВС, на которых функционируют серверы системы ЭП), информационных объектов в оперативной памяти компьютеров (ФС, РС - в процессе обработки). Разделяемый доступ к данным информационным объектам в штатном режиме функционирования системы ЭП не предполагается.
144 Наиболее значимыми (с точки зрения наносимого информационным активам ущерба), являются угрозы с целью нарушения конфиденциальности и целостности информации, обрабатываемой в системах ЭП. Угрозы с целью нарушения доступности информации менее значимы (с точки зрения наносимого информационным активам ущерба), поскольку система ЭП является системой, функционирующей в режиме отложенной (off-line) обработки сообщений, не предполагающего обязательного выполнения требований по времени обработки пользовательских запросов. 3.2.2.2 Модель потенциального нарушителя в системе ЭП В качестве потенциального нарушителя в системе ЭП должен рассматриваться любой внешний по отношению к отправителю/получателю сообщений пользователь ИТС, который: -
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к передаваемым по каналам передачи данных и хранимым на ФС ЛВС сообщениям (с целью их перехвата, модификации, удаления или навязывания ложного сообщения);
-
может осуществить несанкционированный доступ (с использованием штатных средств) к хранимым на РС клиента ЭП сообщениям (с целью их перехвата, модификации или удаления);
-
обладает всеми возможностями авторизованного пользователя системы ЭП по подготовке, передаче, приему и просмотру сообщений;
-
с учетом того, что не вся инфраструктура сети передачи данных находится под контролем отправителя/получателя сообщений, может влиять на работоспособность серверов ЭП, ФС, на которых функционируют серверы ЭП, а также средств передачи данных по каналам передачи данных. Таким образом, потенциальный нарушитель имеет возможность реализации всех типов
угроз (конфиденциальности, целостности и доступности) с использованием штатных средств ЭП, штатных и нештатных средств ОС используемых ФС и РС, штатных и нештатных средств управления активным сетевым оборудованием и оборудованием сети передачи данных. 3.2.2.3 Анализ потенциальных угроз информации в системах ЭП. Анализ и оценка рисков, связанных с реализацией угроз информации в системах ЭП При проведении анализа рисков, связанных с реализацией угроз информации, будем считать, что наибольший ущерб обрабатываемой информации наносится при реализации угроз конфиденциальности и целостности информации, содержащейся в сообщениях ЭП, меньший – при реализации угроз доступности. Также будем считать, что наибольшую вероятность (с учетом сложности реализации и возможности использования штатных программных средств) имеют
145 попытки реализации угроз информации, совершаемые на верхнем (прикладном) уровне стека протоколов взаимодействия ИТС. С учетом принятых допущений, в первую очередь в СЗИ в системах ЭП должны быть предотвращены попытки реализации угроз конфиденциальности и целостности информации, совершаемые на прикладном уровне (угрозы с высоким показателем рисков), затем – попытки реализации угроз доступности, совершаемые на прикладном уровне (угрозы со средним показателем рисков). С учетом известных способов реализации угроз, модель подлежащих предотвращению угроз информации (с высоким и средним показателями риска) должна включать угрозы, приведенные в таблицах 3.1-3.5. Таблица 3.1. Способы реализации в системах ЭП, с использованием уязвимостей сервера системы ЭП, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Перехват сообщения Повтор перехваченных сообщений Искажение сообщения Уничтожение сообщения Переадресация сообщения Навязывание ложного сообщения Подбор/перехват паролей (данных аутентификации) Подбор/перехват паролей (данных аутентификации) Подбор/перехват паролей (данных аутентификации) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Анализ потока сообщений (трафика)
3 4 5 6 7 8 9 10 11 12 13 14 15
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + + + + +
146
Нарушение целостности потока сообщений Захват чрезмерного объема ресурсов Искажение имени отправителя. Несанкционированное изменение файлов псевдонимов и списков рассылки Несанкционированное изменение файлов псевдонимов и списков рассылки Перегрузка входящими сообщениями Несанкционированный доступ к данным с использованием "Сбора мусора"
20 21 22
Нарушение доступности
16 17 18 19
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + +
Таблица 3.2. Способы реализации в системах ЭП, с использованием уязвимостей клиента системы ЭП, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированное использование средств электронной почты Несанкционированное использование средств электронной почты Несанкционированное использование средств электронной почты Повтор перехваченных сообщений Подбор/перехват паролей (данных аутентификации)
3 4 5 6 7 8 9
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + +
147
Подбор/перехват паролей (данных аутентификации) Подбор/перехват паролей (данных аутентификации) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Отказ от факта передачи сообщения Отказ от факта получения сообщения Искажение имени отправителя Несанкционированное изменение файлов псевдонимов и списков рассылки Несанкционированное изменение файлов псевдонимов и списков рассылки Несанкционированное изменение файлов псевдонимов и списков рассылки Внедрение программ типа "троянский конь" Внедрение программ типа "троянский конь" Внедрение компьютерных вирусов Внедрение макро-вирусов Перегрузка входящими сообщениями Передача почтовых бомб Подмена доверенного почтового сервера Подмена доверенного почтового сервера Захват чрезмерного объема ресурсов
13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
Нарушение доступности
10 11 12
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + + + + + + + + +
148 Таблица 3.3. Способы реализации в системах ЭП, с использованием уязвимостей ФС ЛВС, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный запуск программных средств Несанкционированный запуск программных средств Несанкционированный запуск программных средств Подбор/перехват паролей (данных аутентификации) Подбор/перехват паролей (данных аутентификации) Подбор/перехват паролей (данных аутентификации) Несанкционированное получение прав доступа Несанкционированное получение прав доступа Несанкционированное получение прав доступа Незаконное использование административных привилегий Незаконное использование административных привилегий Незаконное использование административных привилегий Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Отказ от факта ввода/модификации данных Захват чрезмерного объема ресурсов
3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Внедрение программ типа "троянский конь" Внедрение программ типа "троянский конь" Внедрение компьютерных вирусов Внедрение макро-вирусов. Несанкционированный доступ к данным с использованием "Сбора мусора"
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + + + + + + + + + + + + + +
149 Таблица 3.4. Способы реализации в системах ЭП, с использованием уязвимостей РС ЛВС, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Отказ от факта ввода/модификации данных Несанкционированный запуск программных средств Несанкционированный запуск программных средств Несанкционированный запуск программных средств Подбор/перехват паролей (данных аутентификации) Подбор/перехват паролей (данных аутентификации) Подбор/перехват паролей (данных аутентификации) Внедрение программ типа "троянский конь" Внедрение программ типа "троянский конь" Внедрение компьютерных вирусов Внедрение макро-вирусов Захват чрезмерного объема ресурсов Несанкционированный доступ к данным с использованием "Сбора мусора"
3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19
Подмена доверенного сервера ЛВС Подмена доверенного сервера ЛВС
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + + + + + + + + +
150 Таблица 3.5. Способы реализации в системах ЭП, с использованием уязвимостей средств маршрутизации пакетов сетевых протоколов, угроз информации с высоким показателем риска
Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Подбор/перехват паролей (данных аутентификации) Подбор/перехват паролей (данных аутентификации) Подмена DNS-сообщений (DNS spoofing)
2 3 4
Нарушение доступности
1
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + +
3.2.3 Особенности построения систем защиты информации в системах ЭП 3.2.3.1 Функциональная спецификация КСЗ системы защиты ЭП Для обеспечения от приведенных в табл. 3.1 - 3.5 способов реализации угроз информации в КСЗ системы защиты ЭП должен быть реализован такой перечень функциональных услуг безопасности (функциональный профиль защищенности): КД-2 – базовая доверительная конфиденциальность; КВ-2 – базовая конфиденциальность при обмене; КО-1 – повторное использование объектов; ЦД-1 – минимальная доверительная целостность; ЦВ-2 – базовая целостность при обмене; ДР-1 – квоты; НР-2 – защищенный журнал; НО-1 – выделение администратора; НЦ-1 – КСЗ с контролем целостности; НИ-2 – одиночная идентификация и аутентификация; НК-1 – достоверный канал; НВ-2 – аутентификация источника данных; НА-1 – базовая аутентификация отправителя; НП-1 – базовая аутентификация получателя.
151 3.2.3.2 Политика функциональных услуг безопасности и используемые механизмы защиты КД-2 – базовая доверительная конфиденциальность Политика данной услуги должна быть реализована относительно объектов: -
сохраняемые сообщения ЭП в виде файлов;
-
программные средства в виде файлов. Политика
услуги
должна
обеспечивать
предотвращение
реализации
угроз
конфиденциальности путем несанкционированного доступа к файлам данных (предотвращая возможность их несанкционированного
чтения) и программных средств (предотвращая
возможность их несанкционированного запуска). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС клиентов ЭП. Для реализации услуги должны использоваться такие механизмы:
-
управление доступом (на основе меток или на основе списков управления доступом). КВ-2 – базовая конфиденциальность при обмене Политика данной услуги должна быть реализована относительно объектов:
-
передаваемые и обрабатываемые в программных средствах (ПС) клиентов ЭП сообщения ЭП. Политика
услуги
должна
обеспечивать
предотвращение
реализации
угроз
конфиденциальности путем перехвата сообщений во всех "транзитных" компонентах системы ЭП (предотвращая возможность ознакомления с их содержимым). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
клиенты системы ЭП. Для реализации услуги должны использоваться такие механизмы:
-
шифрование (симметричное). КО-1 – повторное использование объектов Политика данной услуги должна быть реализована относительно объектов:
-
сохраняемые сообщения ЭП в виде файлов. Политика
услуги
должна
обеспечивать
предотвращение
реализации
конфиденциальности путем выполнения операций "Сбора мусора". Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
угроз
152 -
РС клиентов ЭП. Для реализации услуги должны использоваться такие механизмы:
-
очистка
дисковой
памяти
перед
удалением
файлов
или
перед
предоставлением
соответствующего ресурса другому пользователю. ЦД-1 – минимальная доверительная целостность Политика данной услуги должна быть реализована относительно объектов: -
сохраняемые сообщения ЭП в виде файлов;
-
программные средства в виде файлов. Политика услуги должна обеспечивать предотвращение реализации угроз целостности и
использования вредоносных программных средств путем несанкционированного доступа к файлам
данных
и
файлам
программных
средств
(предотвращая
возможность
их
несанкционированного создания, модификации или удаления). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС клиентов ЭП. Для реализации услуги должны использоваться такие механизмы:
-
управление доступом (на основе меток или на основе списков управления доступом). ЦВ-2 – базовая целостность при обмене Политика данной услуги должна быть реализована относительно объектов:
-
передаваемые и обрабатываемые в ПС клиентов ЭП сообщения ЭП. Политика услуги должна обеспечивать предотвращение реализации угроз целостности
путем искажения, уничтожения или нарушения целостности потока сообщений во всех "транзитных" компонентах системы ЭП (обнаруживая факты их модификации, вставки или удаления). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
клиенты системы ЭП. Для реализации услуги должны использоваться такие механизмы:
-
контроль целостности с использованием криптографического ККЦ или цифровая подпись. ДР-1 – квоты Политика данной услуги должна быть реализована относительно объектов:
-
сохраняемые сообщения ЭП в виде файлов;
-
передаваемые и обрабатываемые в ПС серверов ЭП сообщения ЭП.
153 Политика услуги должна обеспечивать предотвращение реализации угроз доступности путем захвата чрезмерного объема ресурсов серверов ЭП и ФС ЛВС. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
серверы ЭП;
-
ФС ЛВС. Для реализации услуги должны использоваться такие механизмы:
-
управление доступом (на основе меток или на основе списков управления доступом) с контролем используемого объема ресурсов. НР-2 – защищенный журнал Политика данной услуги должна быть реализована относительно объектов:
-
сохраняемые сообщения ЭП в виде файлов;
-
передаваемые и обрабатываемые в ПС серверов ЭП и клиентов ЭП сообщения ЭП. Политика услуги должна обеспечивать возможность аудита действий пользователей, услуга
является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
серверы ЭП;
-
клиенты системы ЭП;
-
ФС ЛВС;
-
РС клиентов ЭП. Для реализации услуги должны использоваться такие механизмы:
-
регистрация и аудит. НО-1 – выделение администратора Политика данной услуги должна быть реализована относительно объектов:
-
сохраняемые сообщения ЭП в виде файлов;
-
передаваемые и обрабатываемые в ПС серверов ЭП и клиентов ЭП сообщения ЭП. Политика услуги должна обеспечивать возможность управления средствами защиты только
уполномоченным пользователям, услуга является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
серверы ЭП;
-
клиенты системы ЭП;
-
ФС ЛВС;
-
РС клиентов ЭП.
154 Для реализации услуги должны использоваться такие механизмы: -
управление доступом (на основе ролей, полномочий). НЦ-1 – КСЗ с контролем целостности Политика данной услуги должна быть реализована относительно объектов:
-
ПС серверов ЭП, клиентов системы ЭП, серверов ЛВС, РС ЛВС, включенных в состав КСЗ. Политика услуги должна обеспечивать возможность обнаружение нарушения целостности
средств защиты (с оповещением уполномоченного пользователя и прекращением дальнейшего функционирования до восстановления работоспособности средств защиты), услуга является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
серверы ЭП;
-
клиенты системы ЭП;
-
ФС ЛВС;
-
РС клиентов ЭП. Для реализации услуги должны использоваться такие механизмы:
-
контроль целостности с использованием криптографического ККЦ. НИ-2 – одиночная идентификация и аутентификация Политика данной услуги должна быть реализована относительно объектов:
-
пользователи ЭП;
-
пользователи ЛВС. Политика услуги должна обеспечивать возможность идентификации и подтверждения
подлинности (аутентификации) пользователей системы ЭП, услуга является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
серверы ЭП;
-
клиенты системы ЭП;
-
ФС ЛВС;
-
РС клиента ЭП. Для реализации услуги должны использоваться такие механизмы:
-
аутентификация одноуровневых объектов (на основе принципов "что-то знаю", "чем-то владею").
155 НК-1 – достоверный канал Политика данной услуги должна быть реализована относительно объектов: -
пользователи ЭП;
-
пользователи ЛВС. Политика услуги должна обеспечивать возможность защиты канала взаимодействия между
пользователем и КСЗ в процессе аутентификации пользователя (от перехвата данных аутентификации с использованием программ типа "троянский конь") и является необходимой для корректной реализации услуги "Одиночная идентификация и аутентификация". Средства реализации услуги должны функционировать в таких компонентах ИТС: -
серверы ЭП;
-
клиенты системы ЭП;
-
ФС ЛВС;
-
РС клиентов ЭП. Для реализации услуги должны использоваться такие механизмы:
-
организация канала непосредственного взаимодействия пользователя с КСЗ. НВ-2 – аутентификация источника данных Политика данной услуги должна быть реализована относительно объектов:
-
пакеты протоколов транспортного уровня при обмене между РС и ФС ЛВС;
-
пакеты протоколов транспортного уровня при обмене между клиентом и сервером ЭП. Политика услуги должна обеспечивать предотвращение реализации угроз, связанных с
перехватом данных аутентификации, передаваемых между удаленными компонентами системы ЭП, с последующим "маскарадом" или навязыванием ложных маршрутов передачи сообщений. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
серверы ЭП;
-
клиенты системы ЭП;
-
ФС ЛВС;
-
РС клиентов ЭП. Для реализации услуги должны использоваться такие механизмы:
-
аутентификация (с использованием механизма шифрования или механизма выработки криптографического ККЦ). НА-1 – базовая аутентификация отправителя Политика данной услуги должна быть реализована относительно объектов:
-
передаваемые и обрабатываемые в ПС клиентов ЭП сообщения ЭП;
156 Политика услуги должна обеспечивать предотвращение реализации угроз, связанных с отказом отправителей от фактов передачи сообщений или с навязыванием ложных сообщений во всех компонентах системы ЭП. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
клиенты системы ЭП. Для реализации услуги должны использоваться такие механизмы:
-
цифровая подпись сообщений. НП-1 – базовая аутентификация получателя Политика данной услуги должна быть реализована относительно объектов:
-
передаваемые и обрабатываемые в ПС клиентов ЭП сообщения ЭП. Политика услуги должна обеспечивать предотвращение реализации угроз, связанных с
отказом получателей от фактов приема сообщений. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
клиенты системы ЭП. Для реализации услуги должны использоваться такие механизмы:
-
цифровая
подпись
квитанций
на полученные
сообщения, однозначно связанных с
полученными сообщениями. 3.2.3.3 Замечания по реализации функциональных услуг Реализация услуги ДР-1 должна выполняться только при наличии свободных ресурсов после реализации всех остальных услуг. При использовании индивидуального варианта подключения услуги доверительного управления доступом (КД-2, ЦД-1) и повторного использования объектов (КО-1) по отношению к файлам и ресурсам РС клиента ЭП могут не реализовываться. В рамках реализации услуги НЦ-1 могут быть задействованы средства обнаружения атак и антивирусной защиты. 3.2.3.4 Структура и состав СЗИ системы ЭП В составе СЗИ можно выделить: -
подсистему управления;
-
подсистему разграничения доступа;
-
подсистему криптографической защиты;
-
подсистему обнаружения атак и антивирусной защиты.
157 3.3 Особенности защиты информации в системах электронного документооборота 3.3.1 Назначение, состав и архитектура систем электронного документооборота Системы электронного документооборота (СЭД) – системы, предназначенные для автоматизации процессов создания, учета и обработки документов в электронном виде (электронных документов). Все СЭД содержат обязательные типовые компоненты: хранилище карточек (атрибутов) документов; хранилище документов; компоненты, реализующие бизнес-логику системы. Хранилище атрибутов документов - предназначено для хранения "карточки" — набора полей, характеризующих документ. Хранилище документов - предназначено для хранения непосредственного содержимого документа. Компоненты, реализующие бизнес-логику системы – обеспечивают непосредственную реализацию функций СЭД. Среди основных функций, реализуемых данными компонентами, можно выделить: -
управление документами в хранилище. Включает процедуры добавления и изъятия документов, сохранения версий, передачи на хранение в архив, поддержания архива и т.д.;
-
поиск документов. Состоит из поиска по атрибутам, визуального поиска по различным деревьям, в которые уложены документы, поиска по полному тексту, смыслового поиска и т.д.;
-
маршрутизация и контроль исполнения. Обеспечивает доставку документов в рамках бизнеспроцедур в организации. Маршруты документов могут быть гибкими и жесткими. В случае гибкой маршрутизации следующий получатель документа определяется сотрудником, в ведении которого документ находится в данный момент. В случае жесткой маршрутизации путь прохождения документов определяется заранее на основе некоторой логики. Фактически, маршрут определяется в терминах пути прохождения и временных интервалов на исполнение документа каждым из участников процесса прохождения. Под исполнением документа подразумевается выполнение действия, связанного с документом, каждым из участников в рамках его должностных полномочий;
-
генерация отчетов. Служат аналогом конторских журналов учета документов. Используя различные отчеты, можно посмотреть, например, общее время, потраченное сотрудниками на работу над конкретным документом, скорость прохождения документов по подразделениям и т.д. Отчеты - отличный материал для принятия управленческих решений;
-
администрирование. Поддержка работы самой системы, настройки ее параметров и т. д.
158 СЭД относятся к системам локализованной или распределенной двухуровневой или трехуровневой архитектуры. Основными компонентами СЭД с трехуровневой архитектурой являются: -
сервер СУБД – сервер, обеспечивающий управление хранилищем атрибутов документов и (в большинстве случаев) хранилищем документов;
-
сервер приложений СЭД – сервер, обеспечивающий реализацию бизнес-логики СЭД;
-
клиент сервера приложений – приложение, функционирующее на компьютере пользователя и управляющее взаимодействием между пользователем и сервером приложений, а также ("толстый клиент") частично реализующее бизнес-логику системы в части обработки конкретного документа, интеграции с офисными пакетами, вывода на внешние устройства и т.п. В общем случае в состав СЭД могут также входить следующие типовые компоненты ИТС:
ФС ЛВС, РС ЛВС, устройства коммутации, устройства маршрутизации, каналы передачи данных. 3.3.2
Угрозы
информации,
характерные
для
СЭД.
Модель
потенциального
нарушителя в СЭД 3.3.2.1
Анализ
СЭД
как
объекта
защиты
и
определение
защищаемых
информационных ресурсов Особенности СЭД как объекта защиты: -
обязательность
выполнения
требований
законодательства
в
области
использования
электронного документооборота и электронной цифровой подписи (ЭЦП): -
необходимость надежного сохранения архива документов;
-
необходимость защиты целостности, подтверждения причастности к созданию и приему документов;
-
разные способы организации хранилища документов;
-
интеграция с офисными пакетами с необходимостью импорта/экспорта временных файлов;
-
возможность прохождения части маршрута прохождения документа вне пределов организации (в системах распределенной архитектуры). Основными
информационными
ресурсами,
подлежащими
(информационными активами), являются: -
электронные документы;
-
наборы данных атрибутов электронных документов (учетные карточки);
-
наборы данных о маршрутах прохождения электронных документов.
защите
в
СЭД
159 Электронные документы могут быть представлены в виде следующих информационных объектов: -
неструктурированные записи (файлы) при сохранении в хранилище электронных документов (ФС, сервер СУБД);
-
неструктурированные файлы в процессе сохранения и обработки на РС клиента;
-
неструктурированные сообщения при передаче по каналам сети передачи данных (в системах распределенной архитектуры);
-
информационные объекты в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС, РС - в процессе обработки). В штатном режиме функционирования СЭД к данным информационным объектам
возможен разделяемый доступ с целью просмотра/ модификации. Наборы данных атрибутов электронных документов могут быть представлены в виде следующих информационных объектов: -
структурированные записи при сохранении в хранилище атрибутов электронных документов (ФС, сервер СУБД);
-
структурированные сообщения при передаче по каналам сети передачи данных (в системах распределенной архитектуры);
-
информационные объекты в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС, РС - в процессе обработки). В штатном режиме функционирования СЭД к данным информационным объектам
возможен разделяемый доступ. Наборы данных о маршрутах прохождения электронных документов могут быть представлены в виде следующих информационных объектов: -
структурированные записи при сохранении в хранилище (ФС, сервер СУБД);
-
информационные объекты в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС, РС - в процессе обработки). В штатном режиме функционирования СЭД к данным информационным объектам
невозможен разделяемый доступ с целью просмотра/ модификации. Наиболее значимыми (с точки зрения наносимого информационным активам ущерба) типами угроз информации в СЭД являются угрозы с целью нарушения: -
конфиденциальности информации, содержащейся в электронных документах и наборах атрибутов документов, путем несанкционированного ознакомления;
-
целостности информации, содержащейся в электронных документах, наборах атрибутов документов, наборах данных о маршрутах прохождения электронных документов, путем несанкционированной модификации;
160 -
целостности информации, содержащейся в электронных документах, наборах атрибутов документов, путем отказа от авторства или отказа от получения;
-
доступности разделяемых ресурсов сервера приложений (реализующего бизнес-логику), сервера СУБД (реализующего функции управления хранилищем электронных документов и хранилищем атрибутов электронных документов), ФС, на которых функционируют серверы приложений и серверы СУБД и размещаются хранилища данных. 3.3.2.2 Модель потенциального нарушителя в СЭД В качестве потенциального нарушителя в СЭД должны рассматриваться:
1) любой сотрудник организации, использующей СЭД, внешний по отношению к автору/ редактору/ получателю конкретного электронного документа (в системах локализованной или распределенной архитектуры); 2) любой внешний по отношению к организации, использующей СЭД, пользователь ИТС (в системах распределенной архитектуры). Сотрудник организации, использующей СЭД, внешний по отношению к автору/ редактору/ получателю конкретного электронного документа: -
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в СЭД с использованием разделяемых ресурсов (ФС, сервер приложений, сервер СУБД) электронным документам (с целью их просмотра, модификации, удаления или создания нового документа);
-
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в СЭД с использованием разделяемых ресурсов (ФС, сервер приложений, сервер СУБД) наборам данных атрибутов электронных документов (с целью их просмотра, модификации, удаления или создания нового набора атрибутов);
-
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в СЭД с использованием разделяемых ресурсов (ФС, сервер приложений, сервер СУБД) наборам данных о маршрутах электронных документов (с целью их модификации, удаления или создания нового набора данных);
-
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к временно хранимым на РС клиента СЭД электронным документам (с целью их перехвата);
-
с использованием штатных и нештатных средств может влиять на работоспособность разделяемых ресурсов СЭД (ФС, серверы СУБД, серверы приложений) и активного сетевого оборудования;
161 -
обладает всеми возможностями пользователя СЭД по созданию, редактированию, передаче, просмотру документов, наборов данных атрибутов документов и наборов данных маршрутов документов. Внешний по отношению к организации, использующей СЭД, пользователь ИТС (в
системах распределенной архитектуры) с учетом того, что не вся инфраструктура сети передачи данных находится под контролем организации: -
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к передаваемым по каналам передачи данных электронным документам (с целью их перехвата, модификации, удаления или создания нового документа);
-
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к передаваемым по каналам передачи данных наборам данных атрибутов электронных документов (с целью их просмотра, модификации, удаления или создания нового набора атрибутов);
-
с использованием штатных и нештатных средств может влиять на работоспособность разделяемых ресурсов СЭД, взаимодействующих с сетью передачи данных (серверы СУБД, серверы приложений, ФС, на которых функционируют серверы приложений и серверы СУБД и размещаются хранилища данных), активного сетевого оборудования и оборудования сети передачи данных. Таким образом, потенциальный нарушитель имеет возможность реализации всех типов
угроз (конфиденциальности, целостности и доступности) с использованием штатных средств СЭД, штатных и нештатных средств ОС используемых ФС, штатных и нештатных средств серверов СУБД, штатных и нештатных средств серверов приложений, штатных и нештатных средств управления активным сетевым оборудованием и оборудованием сети передачи данных. 3.3.2.3 Анализ потенциальных угроз информации в СЭД. Анализ и оценка рисков, связанных с реализацией угроз информации в СЭД При проведении анализа рисков, связанных с реализацией угроз информации, будем считать, что наибольший ущерб обрабатываемой информации наносится при реализации угроз всех трех типов (угроз конфиденциальности, целостности и доступности). Также будем считать, что наибольшую вероятность (с учетом сложности реализации и возможности использования штатных программных средств) имеют
угрозы информации, реализуемые на верхнем
(прикладном) уровне стека протоколов взаимодействия ИТС, а также, в системах распределенной архитектуры - угроз, реализуемых во внешних (по отношению с организации) компонентах ИТС (устройствах маршрутизации и каналах передачи данных).
162 С учетом принятых допущений, в первую очередь в СЗИ в СЭД должны быть предотвращены попытки реализации угроз конфиденциальности, целостности и доступности информации на прикладном уровне (угрозы с высоким показателем рисков), а также (в системах распределенной архитектуры) - угрозы, реализуемых во внешних (по отношению с организации) компонентах ИТС (устройствах маршрутизации и каналах передачи данных). С учетом известных способов реализации угроз, модель подлежащих предотвращению угроз информации (с высоким и средним риском) выглядит следующим образом (табл. 3.6-3.13). Таблица 3.6. Cпособы реализации в СЭД, с использованием уязвимостей ФС ЛВС, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный запуск программных средств Несанкционированный запуск программных средств Несанкционированный запуск программных средств Подбор/перехват паролей Подбор/перехват паролей Подбор/перехват паролей Несанкционированное получение прав доступа. Несанкционированное получение прав доступа. Несанкционированное получение прав доступа. Незаконное использование административных привилегий. Незаконное использование административных привилегий. Незаконное использование административных привилегий. Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий)
3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + + + + + + + +
163
Отказ от факта ввода/модификации данных Захват чрезмерного объема ресурсов Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами Атака типа "отказ в обслуживании" Внедрение программ типа "троянский конь" Внедрение программ типа "троянский конь" Внедрение компьютерных вирусов Внедрение макро-вирусов. Несанкционированный доступ к данным с использованием "Сбора мусора"
Нарушение доступности
19 20 21 22 23 24 25 26 27 28
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + +
Таблица 3.7. Cпособы реализации в СЭД, с использованием уязвимостей РС ЛВС, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Отказ от факта ввода/модификации данных Несанкционированный запуск программных средств Несанкционированный запуск программных средств Несанкционированный запуск программных средств
3 4 5 6 7 8
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + +
164
Подбор/перехват паролей Подбор/перехват паролей Подбор/перехват паролей Внедрение программ типа "троянский конь" Внедрение программ типа "троянский конь" Внедрение компьютерных вирусов Внедрение макро-вирусов Захват чрезмерного объема ресурсов Несанкционированный доступ к данным с использованием "Сбора мусора" Подмена доверенного сервера ЛВС Подмена доверенного сервера ЛВС Подмена доверенного сервера ЛВС Навязывание ложного сервера ЛВС
18 19 20 21
Нарушение доступности
9 10 11 12 13 14 15 16 17
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + + +
Таблица 3.8. Cпособы реализации в СЭД, с использованием уязвимостей сервера СУБД, угроз информации с высоким показателем риска
Несанкционированное использование ресурсов базы данных. Несанкционированное использование ресурсов базы данных. Несанкционированное использование ресурсов базы данных. Подбор/перехват паролей Подбор/перехват паролей Подбор/перехват паролей Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий)
Нарушение доступности
1 2 3 4 5 6 7
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + +
165
8
Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Несанкционированное манипулирование данными в базе данных Несанкционированное манипулирование данными в базе данных Несанкционированное манипулирование программами в базе данных Несанкционированное манипулирование программами в базе данных Захват чрезмерного объема ресурсов Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами Атака типа "отказ в обслуживании" Статистическая идентификация записи + Несанкционированный доступ к данным с использованием "Сбора + мусора"
9 10 11 12 13 14 15 16 17 18
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + +
Таблица 3.9. Способы реализации в СЭД, с использованием уязвимостей клиента сервера СУБД, угроз информации с высоким показателем риска
Несанкционированное использование ресурсов базы данных. Несанкционированное использование ресурсов базы данных. Несанкционированное использование ресурсов базы данных. Несанкционированная модификация записи БД Несанкционированное уничтожение записи БД Отказ от факта ввода/изменения информации Подбор/перехват паролей Подбор/перехват паролей Подбор/перехват паролей
Нарушение доступности
1 2 3 4 5 6 7 8 9
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + +
166
Подмена доверенного сервера БД Подмена доверенного сервера БД Подмена доверенного сервера БД Навязывание ложного сервера БД Несанкционированное изменение программного обеспечения Несанкционированное изменение программного обеспечения Захват чрезмерного объема ресурсов
Нарушение доступности
10 11 12 13 14 15 16
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + +
Таблица 3.10. Cпособы реализации в СЭД, с использованием уязвимостей сервера приложений, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированное получение прав доступа. Несанкционированное получение прав доступа. Несанкционированное получение прав доступа. Незаконное использование административных привилегий. Незаконное использование административных привилегий. Незаконное использование административных привилегий. Подбор/перехват паролей Подбор/перехват паролей
3 4 5 6 7 8 9 10 11 12
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + +
167
Подбор/перехват паролей Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Внедрение программ типа "троянский конь". Внедрение программ типа "троянский конь". Внедрение компьютерных вирусов. Внедрение макро-вирусов. Захват чрезмерного объема ресурсов Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами Атака типа "отказ в обслуживании" Несанкционированные действия с использованием активных компонентов (ActiveX компоненты, CGI-скрипты и т.п.) Несанкционированные действия с использованием активных компонентов (ActiveX компоненты, CGI-скрипты и т.п.) Несанкционированный доступ к данным с использованием "Сбора мусора"
15 16 17 18 19 20 21 22 23 24 25 26
Нарушение доступности
13 14
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + + + +
Таблица 3.11. Cпособы реализации в СЭД, с использованием уязвимостей клиента сервера приложений, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления
+ +
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
168
Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированное получение прав доступа Несанкционированное получение прав доступа Несанкционированное получение прав доступа Неправильное использование полномочий администратора Неправильное использование полномочий администратора Неправильное использование полномочий администратора Подбор/перехват паролей Подбор/перехват паролей Подбор/перехват паролей Внедрение программ типа "троянский конь" Внедрение программ типа "троянский конь" Внедрение компьютерных вирусов Внедрение макро-вирусов Подмена DNS-сообщений DNS spoofing Подмена DNS-сообщений DNS spoofing Подмена доверенного сервера приложений Подмена доверенного сервера приложений Подмена доверенного сервера приложений Навязывание ложного сервера приложений Несанкционированные действия с использованием активных компонентов (ActiveX компоненты, Java –апплеты и т.п.) Несанкционированные действия с использованием активных компонентов (ActiveX компоненты, Java –апплеты и т.п.)
4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
Нарушение доступности
3
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + + + + + + + + + + + + +
169 Таблица 3.12. Cпособы реализации в СЭД, с использованием уязвимостей средств маршрутизации пакетов сетевых протоколов, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Подбор/перехват паролей Подбор/перехват паролей Подбор/перехват паролей Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Захват чрезмерного объема ресурсов Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами Атака типа "отказ в обслуживании" Перехват пакетов Повтор перехваченных пакетов Подмена (навязывание) пакетов Анализ потока сообщений (трафика) Нарушение целостности потока сообщений Внедрение ложного объекта Внедрение ложного маршрута Внедрение ложного маршрута Атаки с использованием маршрутизации источника. Атаки с использованием ICMP-протокола. Атаки с использованием протоколов управления маршрутизацией (RIP, OSPF). Атаки с использованием протоколов управления маршрутизацией (RIP, OSPF). Подмена DNS-сообщений (DNS spoofing)
3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + + + + + + + + + + + + + + + + +
+
170
Подмена DNS-сообщений (DNS spoofing)
+
Нарушение доступности
28
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+
Таблица 3.13. Cпособы реализации в СЭД, с использованием уязвимостей каналов передачи данных, угроз информации с высоким показателем риска
1 2 3 4 5
Разрыв канала передачи Перекоммутирование канала передачи Повтор сообщений Перехват передаваемых данных Активная ретрансляция передаваемых данных
+ +
6
Анализ трафика
+
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + +
3.3.3 Особенности построения систем защиты информации в СЭД Особенности построения систем защиты: -
обязательность административного управления доступом;
-
обязательность ролевого управления доступом;
-
обязательность
выполнения
требований
законодательства
в
области
электронного документооборота и ЭЦП; -
необходимость обеспечения надежного сохранения архива документов;
-
необходимость защиты информации как внутри системы, так и на уровне ОС;
использования
171 -
необходимостью защиты временных файлов;
-
необходимость защиты информации при обмене в случае прохождения части маршрута вне пределов организации.
3.3.3.1 Функциональная спецификация КСЗ системы защиты информации в СЭД КА-2 – базовая административная конфиденциальность; КВ-2 – базовая конфиденциальность при обмене; КО-1 – повторное использование объектов; ЦА-2 – базовая административная целостность; ЦВ-2 – базовая целостность при обмене; ДР-1 – квоты; ДС-2 – устойчивость с ухудшением характеристик обслуживания; ДЗ-2 – ограниченная горячая замена; ДВ-2 – автоматизированное восстановление; НР-2 – защищенный журнал; НО-2 – разграничение обязанностей администраторов; НЦ-2 – КСЗ с гарантированной целостностью; НТ-2 – самотестирование при старте; НИ-2 – одиночная идентификация и аутентификация; НК-1 – достоверный канал; НВ-2 – аутентификация источника данных; НА-2 – аутентификация отправителя с подтверждением; НП-2 – аутентификация получателя с подтверждением. 3.3.3.2 Политика функциональных услуг безопасности и используемые механизмы защиты КА-2 – базовая административная конфиденциальность Политика данной услуги должна быть реализована относительно объектов: - электронных документов в виде следующих информационных объектов: -
неструктурированных записей при сохранении в хранилище электронных документов (сервере СУБД);
-
неструктурированных файлов в процессе сохранения на ФС;
-
неструктурированных файлов в процессе сохранения и обработки на РС клиента;
-
неструктурированных объектов в оперативной памяти сервера приложений;
172 -
наборов данных атрибутов электронных документов в виде следующих информационных объектов: -
структурированных записей при сохранении в хранилище атрибутов электронных документов (сервере СУБД);
-
структурированных объектов в оперативной памяти сервера приложений;
программных средств СЭД в виде файлов. Политика
услуги
должна
обеспечивать
предотвращение
реализации
угроз
конфиденциальности путем несанкционированного доступа к файлам данных и записям БД (предотвращая возможность их несанкционированного чтения), а также к файлам программных средств (предотвращая возможность их несанкционированного запуска). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений. Для реализации услуги должны использоваться такие механизмы:
-
управление доступом (на основе списков управления доступом). КВ-2 – базовая конфиденциальность при обмене Политика данной услуги должна быть реализована относительно объектов:
-
электронных документов в виде следующих информационных объектов: -
неструктурированных сообщений при передаче по каналам сети передачи данных (в системах распределенной архитектуры);
-
наборов данных атрибутов электронных документов в виде следующих информационных объектов: -
структурированных сообщения при передаче по каналам сети передачи данных (в системах распределенной архитектуры). Политика
услуги
должна
обеспечивать
предотвращение
реализации
угроз
конфиденциальности путем перехвата сообщений, передаваемых по каналам сети передачи данных в системах распределенной архитектуры (предотвращая возможность ознакомления с их содержимым). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
серверы приложений (серверы СУБД), через которые осуществляется обмен данными. Для реализации услуги должны использоваться такие механизмы:
-
шифрование (симметричное).
173 КО-1 – повторное использование объектов Политика данной услуги должна быть реализована относительно объектов: - электронных документов в виде следующих информационных объектов: -
неструктурированных записей при сохранении в хранилище электронных документов (сервере СУБД);
-
-
неструктурированных файлов в процессе сохранения на ФС;
-
неструктурированных файлов в процессе сохранения и обработки на РС клиента;
-
неструктурированных объектов в оперативной памяти сервера приложений;
наборов данных атрибутов электронных документов в виде следующих информационных объектов: -
структурированных записей при сохранении в хранилище атрибутов электронных документов (сервере СУБД);
-
структурированных объектов в оперативной памяти сервера приложений; Политика
услуги
должна
обеспечивать
предотвращение
реализации
угроз
конфиденциальности путем выполнения операций "Сбора мусора". Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений. Для реализации услуги должны использоваться такие механизмы:
-
очистка дисковой и оперативной памяти после удаления информационных объектов/ перед предоставлением памяти под размещение других объектов;
-
удаление атрибутов доступа (списков управления доступом) при удалении объекта. ЦА-2 – базовая административная целостность Политика данной услуги должна быть реализована относительно объектов:
- электронных документов в виде следующих информационных объектов: -
неструктурированных записей при сохранении в хранилище электронных документов (сервере СУБД);
-
неструктурированных файлов в процессе сохранения на ФС;
-
неструктурированных файлов в процессе сохранения и обработки на РС клиента;
-
неструктурированных объектов в оперативной памяти сервера приложений;
174 -
наборов данных атрибутов электронных документов в виде следующих информационных объектов: -
структурированных записей при сохранении в хранилище атрибутов электронных документов (сервере СУБД);
-
структурированных объектов в оперативной памяти сервера приложений;
наборов данных о маршрутах прохождения электронных документов в виде следующих информационных объектов:
-
-
структурированных записей при сохранении в хранилище (сервере СУБД);
-
информационных объектов в оперативной памяти сервера приложений;
программных средств СЭД в виде файлов. Политика услуги должна обеспечивать предотвращение реализации угроз целостности и
использования вредоносных программных средств путем несанкционированного доступа к файлам данных, записям БД и файлам программных средств (предотвращая возможность их несанкционированного создания, модификации или удаления). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений. Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе списков управления доступом). ЦВ-2 – базовая целостность при обмене Политика данной услуги должна быть реализована относительно объектов: -
электронных документов в виде следующих информационных объектов: -
неструктурированных сообщений при передаче по каналам сети передачи данных (в системах распределенной архитектуры);
-
наборов данных атрибутов электронных документов в виде следующих информационных объектов: -
структурированных сообщения при передаче по каналам сети передачи данных (в системах распределенной архитектуры). Политика услуги должна обеспечивать предотвращение реализации угроз целостности
путем искажения, уничтожения или нарушения целостности потока сообщений, передаваемых по каналам сети передачи данных в системах распределенной архитектуры (обнаруживая факты их модификации, вставки или удаления).
175 Средства реализации услуги должны функционировать в таких компонентах ИТС: -
серверы приложений (серверы СУБД), через которые осуществляется обмен данными. Для реализации услуги должны использоваться такие механизмы:
-
контроль целостности по ККЦ. ДР-1 – квоты Политика данной услуги должна быть реализована относительно объектов:
- электронных документов в виде следующих информационных объектов: -
неструктурированных записей при сохранении в хранилище электронных документов (сервере СУБД);
-
-
неструктурированных файлов в процессе сохранения на ФС;
-
неструктурированных объектов в оперативной памяти сервера приложений;
наборов данных атрибутов электронных документов в виде следующих информационных объектов: -
структурированных записей при сохранении в хранилище атрибутов электронных документов (сервере СУБД);
-
структурированных объектов в оперативной памяти сервера приложений;
наборов данных о маршрутах прохождения электронных документов в виде следующих информационных объектов: -
структурированных записей при сохранении в хранилище (сервере СУБД);
-
информационных объектов в оперативной памяти сервера приложений. Политика услуги должна обеспечивать предотвращение реализации угроз доступности
путем захвата чрезмерного объема ресурсов серверов ФС ЛВС, серверов СУБД и серверов приложений. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС (по отношению к выделяемому дисковому пространству);
-
серверы СУБД (по отношению к выделяемому объему таблиц БД);
-
серверы приложений (по отношению к выделяемым объемам вычислительных ресурсовпроцессорному времени, оперативной памяти). Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе списков управления доступом).
176 ДС-2 – устойчивость с ухудшением характеристик обслуживания ДЗ-2 – ограниченная горячая замена ДВ-2 – автоматизированное восстановление Должны быть реализованы относительно всех компонентов ИТС, входящих в состав СЭД: -
ФС ЛВС;
-
РС ЛВС;
-
серверов СУБД;
-
серверов приложений;
-
клиентов серверов приложений;
-
средств маршрутизации пакетов сетевых протоколов;
-
каналов передачи данных. Политики услуг должны обеспечивать предотвращение или минимизацию последствий
реализации угроз доступности, приводящих с нарушению работоспособности компонентов ИТС. Для реализации услуг должны использоваться такие механизмы: -
управление маршрутом (по отношению к каналам передачи данных);
-
дублирование критичных компонентов (разделяемых ресурсов) в режиме "горячей замены" (частично);
-
резервирование программных средств и информации с возможностью автоматизированного/ ручного восстановления. НР-2 – защищенный журнал Должна быть реализована относительно всех защищенных объектов во всех видах
представления. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений;
-
клиенты серверов приложений;
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Политика услуги должна обеспечивать возможность аудита действий пользователей, услуга
является необходимой для корректной реализации остальных услуг. Для реализации услуги должны использоваться такие механизмы: - регистрация и аудит.
177 НО-2 – разграничение обязанностей администраторов Должна быть реализована относительно всех защищенных объектов во всех видах представления. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений;
-
клиенты серверов приложений;
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Политика услуги должна обеспечивать возможность управления средствами защиты только
уполномоченным пользователям с разграничением (с целью обеспечения взаимного контроля) их обязанностей, услуга является необходимой для корректной реализации остальных услуг. Для реализации услуги должны использоваться такие механизмы: -
управление доступом (на основе ролей, полномочий). НЦ-2 – КСЗ с гарантированной целостностью Политика данной услуги должна быть реализована относительно объектов:
-
ПС ФС ЛВС; ПС РС ЛВС; ПС серверов СУБД; ПС серверов приложений; ПС клиентов серверов приложений; ПС средств маршрутизации пакетов сетевых протоколов, ПС средств коммутации пакетов сетевых протоколов. Политика услуги должна предотвращать возможность нарушения целостности средств
защиты, услуга является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений;
-
клиенты серверов приложений;
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
- контроль целостности по ККЦ, управление доступом.
178 НТ-2 – самотестирование при старте Политика данной услуги должна быть реализована относительно объектов: -
ПС ФС ЛВС; ПС РС ЛВС; ПС серверов СУБД; ПС серверов приложений; ПС клиентов серверов приложений; ПС средств маршрутизации пакетов сетевых протоколов, ПС средств коммутации пакетов сетевых протоколов. Политика услуги должна обеспечивать возможность проверки работоспособности средств
защиты при старте КСЗ с оповещением уполномоченного пользователя и прекращением дальнейшего функционирования до восстановления работоспособности средств защиты. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений;
-
клиенты серверов приложений;
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
- контроль целостности по ККЦ. НИ-2 – одиночная идентификация и аутентификация Политика данной услуги должна быть реализована относительно объектов: -
пользователи ЛВС;
-
пользователи СУБД;
-
пользователи СЭД. Политика услуги должна обеспечивать возможность идентификации и подтверждения
подлинности (аутентификации) пользователей СЭД, услуга является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений;
-
клиенты серверов приложений. Для реализации услуги должны использоваться такие механизмы:
179 - аутентификация одноуровневых объектов (на основе принципов "что-то знаю", "чем-то владею"). НК-1 – достоверный канал Политика данной услуги должна быть реализована относительно объектов: -
пользователи ЛВС;
-
пользователи СУБД;
-
пользователи СЭД. Политика услуги должна обеспечивать возможность защиты канала взаимодействия между
пользователем и КСЗ в процессе аутентификации пользователя (от перехвата данных аутентификации с использованием программ типа "троянский конь") и является необходимой для корректной реализации услуги "Одиночная идентификация и аутентификация". Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений;
-
клиенты серверов приложений. Для реализации услуги должны использоваться такие механизмы:
- организация канала непосредственного взаимодействия пользователя с КСЗ. НВ-2 – аутентификация источника данных Политика данной услуги должна быть реализована относительно объектов: -
пакеты протоколов транспортного уровня при обмене между РС и ФС ЛВС;
-
пакеты протоколов транспортного уровня при обмене между клиентом и сервером приложений;
-
пакеты протоколов транспортного уровня при обмене сервером приложений и сервером СУБД;
-
пакетов протокола транспортного уровня при обмене между серверами СУБД (серверами приложений) в системах распределенной архитектуры. Политика услуги должна обеспечивать предотвращение реализации угроз, связанных с
перехватом данных аутентификации, передаваемых между компонентами СЭД, с последующим "маскарадом" или навязыванием ложных маршрутов передачи сообщений. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
180 -
серверы СУБД;
-
серверы приложений;
-
клиенты серверов приложений. Для реализации услуги должны использоваться такие механизмы:
-
аутентификация (с использованием механизма шифрования или механизма выработки криптографического ККЦ). НА-2 – аутентификация отправителя с подтверждением Политика данной услуги должна быть реализована относительно объектов:
-
электронных документов в виде следующих информационных объектов: -
неструктурированных записей при сохранении в хранилище электронных документов и обработке в серверах приложений (сервере СУБД);
-
неструктурированных сообщений при передаче по каналам сети передачи данных (в системах распределенной архитектуры);
-
наборов данных атрибутов электронных документов в виде следующих информационных объектов: -
структурированных записей при сохранении в хранилище атрибутов электронных документов (сервере СУБД);
-
структурированных сообщений при передаче по каналам сети передачи данных (в системах распределенной архитектуры); Политика услуги должна обеспечивать предотвращение реализации угроз, связанных с
отказом отправителей от фактов передачи сообщений или с навязыванием ложных сообщений во всех компонентах СЭД, с возможностью подтверждения факта причастности к передаче сообщения доверенной третьей стороной. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
клиенты серверов приложений. Для реализации услуги должны использоваться такие механизмы:
- цифровая подпись сообщений с использованием нотаризации (сертификатов открытых ключей). НП-2 – аутентификация получателя с подтверждением Политика данной услуги должна быть реализована относительно объектов: -
электронных документов в виде следующих информационных объектов: -
неструктурированных записей при сохранении в хранилище электронных документов и обработке в серверах приложений (сервере СУБД);
181 -
неструктурированных сообщений при передаче по каналам сети передачи данных (в системах распределенной архитектуры);
-
наборов данных атрибутов электронных документов в виде следующих информационных объектов: -
структурированных записей при сохранении в хранилище атрибутов электронных документов (сервере СУБД);
-
структурированных сообщений при передаче по каналам сети передачи данных (в системах распределенной архитектуры); Политика услуги должна обеспечивать предотвращение реализации угроз, связанных с
отказом получателей от фактов приема сообщений, с возможностью подтверждения факта причастности к приему сообщения доверенной третьей стороной. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
клиенты серверов приложений. Для реализации услуги должны использоваться такие механизмы:
-
цифровая подпись квитанций на сообщения, однозначно связанных с полученными сообщениями, с использованием нотаризации (сертификатов открытых ключей). В рамках реализации услуги НЦ-2 могут быть задействованы средства обнаружения атак и
антивирусной защиты. В системах локализованной архитектуры уровни услуг устойчивость к отказам, горячая замена и восстановление после сбоев могут быть понижены на один уровень (до уровня ДС-1 – устойчивость при ограниченных отказах, ДЗ-1 – модернизация, ДВ-1 – ручное восстановление). В системах локализованной архитектуры уровень услуги целостность КСЗ может быть понижен на один уровень (до уровня НЦ-1 – КСЗ с контролем целостности). Если использующие СЭД юридические лица на договорных началах признают ЭЦП без сертификата ключа, уровни услуг аутентификация отправителя и аутентификация получателя могут быть понижены на один уровень (до уровня НА-1 – базовая аутентификация отправителя, НП-1 – базовая аутентификация получателя). 3.3.3.3 Структура и состав СЗИ СЭД В составе СЗИ СЭД можно выделить: -
подсистему управления;
-
подсистему разграничения доступа;
-
подсистему криптографической защиты;
-
подсистему обнаружения атак и антивирусной защиты.
182 3.4 Особенности защиты информации в автоматизированных банковских системах 3.4.1 Назначение, состав и архитектура автоматизированных банковских систем Автоматизированные банковские системы (АБС) – системы, предназначенные для автоматизации процессов выполнения банковских операций (учет клиентов и состояний их счетов, управление кредитами, биржевые операции, выполнение платежей, подготовка бухгалтерской отчетности и т.п.). С учетом назначения и реализуемых функций АБС обычно делят на: -
внутрибанковские АБС;
-
системы межбанковских расчетов;
-
системы "клиент - банк";
-
системы массовых платежей. Для определенных типов АБС характерны определенные функции. Внутрибанковские АБС предназначены для реализации всей совокупности операций (учет
клиентов и состояний их счетов, управлений кредитами, биржевые операции, выполнение платежей,
подготовка
бухгалтерской
отчетности
и
т.п.),
выполняемых
в
процессе
функционирования балансового филиала (отделения) банка, имеющего свой код МФО, в том числе и операций по взаимодействию с клиентами, безбалансовыми филиалами, системами межбанковских расчетов и системами массовых платежей. Системы межбанковских расчетов предназначены для осуществления платежных операций (трансакций) между банками, обусловленных выполнением платежей их клиентов или собственных обязательств одного банка перед другим с использованием межбанковских денежных переводов. В зависимости от характера отношений между участниками платежного процесса, существуют три основных метода осуществления таких переводов: -
с использованием двусторонних корреспондентских отношений;
-
с использованием счетов в банке-посреднике, который выполняет роль агента по расчетам;
-
с использованием специализированных расчетных учреждений и сетей. В системах межбанковских расчетов может существовать определенная региональная
сегментация с целью экономией на затратах при условии обработки трансакций в том регионе, где они выполняются. Таким образом, банки, которые действуют в общенациональном масштабе, могут осуществлять клиринг и расчеты по значительной части своих платежей через местные структуры. Системы "клиент-банк" – системы, обеспечивающие возможность клиентам банка (как юридическим, так и физическим лицам) выполнять операции по удаленному управлению состоянием своего банковского счета (выполнение платежей, получение информации о состоянии
183 банковского счета, передача заявок на куплю/продажу валюты и другие банковские услуги, получение интересующей клиента информации). Системы массовых платежей – системы, предназначенные для использования физическими лицами с целью автоматизации выполнения расчетов за товары и услуги с использованием специальных платежных инструментов (как правило, пластиковых карт). Характерная особенность – взаимодействие клиента с системой через специализированные устройства, специальный (определенный соответствующими международными стандартами) порядок идентификации клиента, выполнение платежей и защиты информации, низкие операционные затраты, специальный порядок страхования и погашения т.н. операционных рисков. Внутрибанковские АБС относится к системам файл-серверной архитектуры (устаревшая), локализованной или распределенной двухуровневой или трехуровневой архитектуры. Системы межбанковских расчетов относится к системам распределенной двухуровневой или трехуровневой архитектуры. Системы "клиент-банк" относится к системам файл-серверной архитектуры (устаревшая), распределенной двухуровневой или трехуровневой архитектуры. Системы массовых платежей относится к системам распределенной трехуровневой архитектуры. По своему назначению, реализуемым функциям и технологии обработки информации АБС представляют собой класс специализированных для решения задач банковской деятельности систем электронного документооборота. Основными компонентами АБС с файл-серверной архитектурой являются: -
ФС ЛВС – сервер, обеспечивающий хранение файлов базы данных АБС (учетной информации, расчетных документов, архива документов, отчетов и т.п.);
-
рабочая станция
ЛВС –
обеспечивает возможность
функционирования
прикладных
программных средств АБС, реализующих бизнес-логику системы, управляющих сохранением информации в БД системы, а также обменом данными с другими системами. Основными компонентами АБС с двухуровневой архитектурой являются: -
сервер СУБД – сервер, обеспечивающий управление хранилищем БД АБС (учетной информации, расчетных документов, архива документов, отчетов и т.п.), а также возможность запуска хранимых процедур, частично реализующих бизнес-логику системы (в части обработки груп информационных объектов, взаимодействия с другими системами и т.п.);
-
клиент сервера СУБД – приложение, функционирующее на компьютере пользователя и управляющее
взаимодействием
между
пользователем
и
сервером
СУБД,
частично
реализующее бизнес-логику системы в части обработки конкретного информационного
184 объекта, управляющее сохранением информации в БД системы, а также обменом данными с другими системами. Основными компонентами АБС с трехуровневой архитектурой являются: -
сервер СУБД – сервер, обеспечивающий управление хранилищем БД АБС (учетной информации, расчетных документов, архива документов, отчетов и т.п.);
-
сервер приложений АБС – сервер, обеспечивающий реализацию бизнес-логики системы (в части обработки групп информационных объектов, взаимодействия с другими системами и т.п.);
-
клиент сервера приложений – приложение, функционирующее на компьютере пользователя и управляющее взаимодействием между пользователем и сервером приложений, а также частично
реализующее
бизнес-логику
системы
в
части
обработки
конкретного
информационного объекта, управляющее сохранением информации в БД системы, а также обменом данными с другими системами. В общем случае в состав АБС могут также входить следующие типовые компоненты ИТС: сервер ЛВС, рабочая станция ЛВС, устройства коммутации, устройства маршрутизации, каналы передачи данных. 3.4.2
Угрозы
информации,
характерные
для
АБС.
Модель
потенциального
нарушителя в АБС 3.4.2.1
Анализ
АБС
как
объекта
защиты
и
определение
защищаемых
информационных ресурсов Особенности АБС как объекта защиты: -
обязательность выполнения требований законодательства по обеспечению защиты банковской тайны и выполнению денежных переводов: -
необходимость защиты конфиденциальности информации, составляющей банковскую тайну;
-
необходимость надежного сохранения архива электронных расчетных документов;
-
необходимость защиты целостности, подтверждения причастности к созданию и приему электронных расчетных документов;
-
с учетом характера обрабатываемой информации (финансовая), а также того, что, согласно статистике, до 80% угроз в АБС реализуется легальными пользователями системы (сотрудниками банков), необходимость использования модели "взаимного недоверия" (правило "двух рук");
-
различные способы организации хранилища электронных расчетных документов;
185 -
различные способы организации взаимодействия и различные возможности доступа сторонних лиц к АБС различных типов: -
внутрибанковские – в штатном режиме доступ имеют только сотрудники одного банка, взаимодействие (в системах распределенной архитектуры) – по каналам ведомственной сети передачи данных;
-
межбанковские – в штатном режиме доступ имеют сотрудники разных банков, взаимодействие (в системах распределенной архитектуры) – по каналам как ведомственной сети передачи данных, так и по каналам общедоступных сетей;
-
"клиент-банк" – в штатном режиме доступ имеют сотрудники банка и сотрудники организации - клиента, взаимодействие – по каналам общедоступных сетей передачи данных. Основными
информационными
ресурсами,
подлежащими
защите
в
АБС
(информационными активами), являются: -
электронные расчетные документы;
-
информационные объекты, содержащие сведения о клиентах, составляющие банковскую тайну:
-
-
информация об организационной структуре юридических лиц- клиентов банка;
-
сведения о состоянии счетов клиентов;
-
сведения о выполненных операциях в пользу конкретных юридических лиц;;
информационные
объекты,
содержащие
сводные
сведения
(отчетность)
по
банку,
составляющие банковскую тайну. Электронные расчетные документы могут быть представлены в виде следующих информационных объектов: -
структурированные записи (файлы) при сохранении в хранилище электронных расчетных документов АБС (ФС, сервер СУБД);
-
структурированные записи (файлы) в процессе сохранения и обработки на РС АБС или РС клиента;
-
структурированные сообщения при передаче по каналам сети передачи данных (во внутрибанковских и межбанковских системах распределенной архитектуры, системах "клиентбанк");
-
информационные объекты в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС, РС - в процессе обработки). В штатном режиме функционирования АБС к данным информационным объектам
возможен разделяемый доступ с целью просмотра.
186 Информационные
объекты,
содержащие
сведения
о
клиентах,
составляющие
банковскую тайну, могут быть представлены в виде следующих информационных объектов: -
структурированные записи при сохранении в хранилище данных АБС (ФС, сервер СУБД);
-
информационные объекты в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС, РС - в процессе обработки). В штатном режиме функционирования АБС к данным информационным объектам
возможен разделяемый доступ с целью просмотра/модификации. Информационные объекты, содержащие сводные сведения (отчетность) по банку, составляющие банковскую тайну, могут быть представлены в виде следующих информационных объектов: -
структурированные и неструктурированные записи при сохранении в хранилище данных АБС (ФС, сервер СУБД);
-
структурированные и неструктурированные записи (файлы отчетов) в процессе сохранения и обработки на ФС, РС АБС;
-
информационные объекты в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС, РС - в процессе обработки). В штатном режиме функционирования АБС к данным информационным объектам
невозможен разделяемый доступ с целью просмотра. Наиболее значимыми (с точки зрения наносимого информационным активам ущерба) типами угроз информации в АБС являются угрозы с целью нарушения: -
конфиденциальности информации, содержащейся в электронных расчетных документах, информационных объектах, содержащих сведения о клиентах, информационных объектах, содержащих сводные сведения (отчетность) по банку, путем несанкционированного ознакомления;
-
целостности
информации,
содержащейся
в
электронных
расчетных
документах,
информационных объектах, содержащих сведения о клиентах, информационных объектах, содержащих сводные сведения (отчетность) по банку,
путем несанкционированной
модификации; -
целостности информации, содержащейся в электронных расчетных документах, путем отказа от авторства или отказа от получения;
-
доступности разделяемых ресурсов сервера приложений (реализующего бизнес-логику), сервера СУБД (реализующего функции управления хранилищем данных АБС), ФС, на которых функционируют серверы приложений и серверы СУБД и размещаются хранилища данных.
187 3.4.2.2 Модель потенциального нарушителя в АБС В качестве потенциального нарушителя в АБС должны рассматриваться: 1) любой сотрудник банка, использующего внутрибанковскую или межбанковскую АБС; 2) любой сотрудник организации-клиента (клиент- физическое лицо), использующей систему "клиент-банк"; 3) любой внешний по отношению к банку или к организации-клиенту, использующей систему "клиент-банк", пользователь ИТС (в системах распределенной архитектуры). Сотрудник банка, использующего внутрибанковскую или межбанковскую АБС: -
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в АБС с использованием разделяемых ресурсов (ФС, сервер приложений, сервер СУБД) расчетным документам (с целью их просмотра, модификации, удаления или создания нового документа);
-
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в АБС с использованием разделяемых ресурсов (ФС, сервер приложений, сервер СУБД) информационным объектам, содержащим сведения о клиентах, составляющие банковскую тайну (с целью их просмотра, модификации, удаления или создания объекта);
-
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в АБС с использованием разделяемых ресурсов (ФС, сервер приложений, сервер СУБД) информационным объектам, содержащим сводные сведения (отчетность) по банку, составляющие банковскую тайну (с целью их просмотра, модификации, удаления или создания объекта);
-
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к временно хранимым на РС клиента АБС информационным объектам, содержащим сводные сведения (отчетность) по банку, составляющие банковскую тайну (с целью их просмотра);
-
с использованием штатных и нештатных средств может влиять на работоспособность разделяемых ресурсов АБС (ФС, серверы СУБД, серверы приложений) и активного сетевого оборудования;
-
обладает всеми возможностями пользователя АБС по созданию, редактированию, передаче, просмотру электронных расчетных документов, информационных объектов, содержащих сведения о клиентах, составляющие банковскую тайну, информационных объектов, содержащих сводные сведения (отчетность) по банку, составляющие банковскую тайну. Сотрудник организации-клиента (клиент- физическое лицо), использующей систему
"клиент-банк" :
188 -
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в системе с использованием разделяемых ресурсов (ФС, сервер приложений, сервер СУБД) электронным расчетным документам (с целью их просмотра, модификации, удаления или создания нового документа);
-
обладает всеми возможностями пользователя системы по созданию, редактированию, передаче, просмотру электронных расчетных документов. Внешний по отношению к банку или к организации-клиенту (клиенту) пользователь ИТС (в
системах распределенной архитектуры) с учетом того, что не вся инфраструктура сети передачи данных находится под контролем банка или организации-клиента: -
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к передаваемым по каналам передачи данных электронным расчетным документам (с целью их перехвата, модификации, удаления или создания нового документа);
-
с использованием штатных и нештатных средств может влиять на работоспособность разделяемых ресурсов АБС, взаимодействующих с сетью передачи данных (серверы СУБД, серверы приложений, ФС, на которых функционируют серверы приложений и серверы СУБД и размещаются хранилища данных), активного сетевого оборудования и оборудования сети передачи данных. Таким образом, потенциальный нарушитель имеет возможность реализации всех типов
угроз (конфиденциальности, целостности и доступности) с использованием штатных средств АБС, штатных и нештатных средств ОС используемых ФС, штатных и нештатных средств серверов СУБД, штатных и нештатных средств серверов приложений, штатных и нештатных средств управления активным сетевым оборудованием и оборудованием сети передачи данных. 3.4.2.3 Анализ потенциальных угроз информации в АБС. Анализ и оценка рисков, связанных с реализацией угроз информации в АБС При проведении анализа рисков, связанных с реализацией угроз информации, будем считать, что наибольший ущерб обрабатываемой информации наносится при реализации угроз всех трех типов (угроз конфиденциальности, целостности и доступности). Также будем считать, что наибольшую вероятность (с учетом сложности реализации и возможности использования штатных программных средств) имеют
угрозы информации, реализуемые на верхнем
(прикладном) уровне стека протоколов взаимодействия, а также, в системах распределенной архитектуры - угроз, реализуемых во внешних (по отношению с организации) компонентах ИТС (устройствах маршрутизации и каналах передачи данных). С учетом принятых допущений, в первую очередь в СЗИ в АБС должны быть предотвращены попытки реализации угроз конфиденциальности, целостности и доступности
189 информации на прикладном уровне (угрозы с высоким показателем рисков), а также (в системах распределенной архитектуры) - угрозы, реализуемых во внешних (по отношению к банку или организации-клиенту) компонентах ИТС (устройствах маршрутизации и каналах передачи данных). С учетом известных способов реализации угроз, модель подлежащих предотвращению угроз информации (с высоким и средним риском) выглядит следующим образом (табл. 3.14-3.21). Таблица 3.14. Cпособы реализации в АБС, с использованием уязвимостей ФС ЛВС, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный запуск программных средств Несанкционированный запуск программных средств Несанкционированный запуск программных средств Подбор/перехват паролей Подбор/перехват паролей Подбор/перехват паролей Несанкционированное получение прав доступа. Несанкционированное получение прав доступа. Несанкционированное получение прав доступа. Незаконное использование административных привилегий. Незаконное использование административных привилегий. Незаконное использование административных привилегий. Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Отказ от факта ввода/модификации данных Захват чрезмерного объема ресурсов
3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + + + + + + + + + +
190
Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами Атака типа "отказ в обслуживании" Внедрение программ типа "троянский конь" Внедрение программ типа "троянский конь" Внедрение компьютерных вирусов Внедрение макро-вирусов. Несанкционированный доступ к данным с использованием "Сбора мусора"
Нарушение доступности
21 22 23 24 25 26 27 28
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + +
Таблица 3.15. Cпособы реализации в АБС, с использованием уязвимостей РС ЛВС, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Отказ от факта ввода/модификации данных Несанкционированный запуск программных средств Несанкционированный запуск программных средств Несанкционированный запуск программных средств Подбор/перехват паролей Подбор/перехват паролей
3 4 5 6 7 8 9 10
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + +
191
Подбор/перехват паролей Внедрение программ типа "троянский конь" Внедрение программ типа "троянский конь" Внедрение компьютерных вирусов Внедрение макро-вирусов Захват чрезмерного объема ресурсов Несанкционированный доступ к данным с использованием "Сбора мусора" Подмена доверенного сервера ЛВС Подмена доверенного сервера ЛВС Подмена доверенного сервера ЛВС Навязывание ложного сервера ЛВС
18 19 20 21
Нарушение доступности
11 12 13 14 15 16 17
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + +
Таблица 3.16. Cпособы реализации в АБС, с использованием уязвимостей сервера СУБД, угроз информации с высоким показателем риска
Несанкционированное использование ресурсов базы данных. Несанкционированное использование ресурсов базы данных. Несанкционированное использование ресурсов базы данных. Подбор/перехват паролей Подбор/перехват паролей Подбор/перехват паролей Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий)
8
Нарушение доступности
1 2 3 4 5 6 7
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + +
192
9 10 11 12 13 14 15 16 17 18 19
Несанкционированное манипулирование данными в базе данных Несанкционированное манипулирование данными в базе данных Несанкционированное манипулирование программами в базе данных Несанкционированное манипулирование программами в базе данных Захват чрезмерного объема ресурсов Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами Атака типа "отказ в обслуживании" Атака "салями" Статистическая идентификация записи + Несанкционированный доступ к данным с использованием "Сбора + мусора"
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + +
Таблица 3.17. Cпособы реализации в АБС, с использованием уязвимостей клиента сервера СУБД, угроз информации с высоким показателем риска
Несанкционированное использование ресурсов базы данных. Несанкционированное использование ресурсов базы данных. Несанкционированное использование ресурсов базы данных. Несанкционированная модификация записи БД Несанкционированное уничтожение записи БД Отказ от факта ввода/изменения информации Подбор/перехват паролей Подбор/перехват паролей Подбор/перехват паролей
Нарушение доступности
1 2 3 4 5 6 7 8 9
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + +
193
Подмена доверенного сервера БД Подмена доверенного сервера БД Подмена доверенного сервера БД Навязывание ложного сервера БД Несанкционированное изменение программного обеспечения Несанкционированное изменение программного обеспечения Захват чрезмерного объема ресурсов
Нарушение доступности
10 11 12 13 14 15 16
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + +
Таблица 3.18. Cпособы реализации в АБС, с использованием уязвимостей сервера приложений, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированное получение прав доступа. Несанкционированное получение прав доступа. Несанкционированное получение прав доступа. Незаконное использование административных привилегий. Незаконное использование административных привилегий. Незаконное использование административных привилегий. Подбор/перехват паролей Подбор/перехват паролей
3 4 5 6 7 8 9 10 11 12
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + +
194
Подбор/перехват паролей Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Внедрение программ типа "троянский конь". Внедрение программ типа "троянский конь". Внедрение компьютерных вирусов. Внедрение макро-вирусов. Захват чрезмерного объема ресурсов Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами Атака типа "отказ в обслуживании" Несанкционированные действия с использованием активных компонентов (ActiveX компоненты, CGI-скрипты и т.п.) Несанкционированные действия с использованием активных компонентов (ActiveX компоненты, CGI-скрипты и т.п.) Несанкционированный доступ к данным с использованием "Сбора мусора"
15 16 17 18 19 20 21 22 23 24 25 26
Нарушение доступности
13 14
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + + + +
Таблица 3.19. Cпособы реализации в АБС, с использованием уязвимостей клиента сервера приложений, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления
+ +
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
195
Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированное получение прав доступа Несанкционированное получение прав доступа Несанкционированное получение прав доступа Неправильное использование полномочий администратора Неправильное использование полномочий администратора Неправильное использование полномочий администратора Подбор/перехват паролей Подбор/перехват паролей Подбор/перехват паролей Внедрение программ типа "троянский конь" Внедрение программ типа "троянский конь" Внедрение компьютерных вирусов Внедрение макро-вирусов Подмена DNS-сообщений DNS spoofing Подмена DNS-сообщений DNS spoofing Подмена доверенного сервера приложений Подмена доверенного сервера приложений Подмена доверенного сервера приложений Навязывание ложного сервера приложений Несанкционированные действия с использованием активных компонентов (ActiveX компоненты, Java –апплеты и т.п.) Несанкционированные действия с использованием активных компонентов (ActiveX компоненты, Java –апплеты и т.п.)
4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
Нарушение доступности
3
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + + + + + + + + + + + + +
196 Таблица 3.20. Cпособы реализации в АБС, с использованием уязвимостей средств маршрутизации пакетов сетевых протоколов, угроз информации с высоким показателем риска
Несанкционированный доступ к данным с целью их просмотра Несанкционированный доступ к данным с целью их модификации/ удаления Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Несанкционированный доступ к программному обеспечению с целью его хищения/ разрушения Подбор/перехват паролей Подбор/перехват паролей Подбор/перехват паролей Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Маскарад (выдача себя за другого пользователя с целью снятия с себя ответственности или же использования его полномочий) Захват чрезмерного объема ресурсов Бомбардировка трудновыполнимыми запросами Бомбардировка заведомо бессмысленными запросами Атака типа "отказ в обслуживании" Перехват пакетов Повтор перехваченных пакетов Подмена (навязывание) пакетов Анализ потока сообщений (трафика) Нарушение целостности потока сообщений Внедрение ложного объекта Внедрение ложного маршрута Внедрение ложного маршрута Атаки с использованием маршрутизации источника. Атаки с использованием ICMP-протокола. Атаки с использованием протоколов управления маршрутизацией (RIP, OSPF). Атаки с использованием протоколов управления маршрутизацией (RIP, OSPF). Подмена DNS-сообщений (DNS spoofing)
3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27
Нарушение доступности
1 2
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + + + + + + + + + + + + + + + + + + + + + + +
+
197
Подмена DNS-сообщений (DNS spoofing)
+
Нарушение доступности
28
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+
Таблица 3.21. Cпособы реализации в АБС, с использованием уязвимостей каналов передачи данных, угроз информации с высоким показателем риска
1 2 3 4 5 6
Разрыв канала передачи Перекоммутирование канала передачи Повтор сообщений Перехват передаваемых данных Активная ретрансляция передаваемых данных Анализ трафика
Нарушение доступности
Цель воздействия
Нарушение целостности
Способ реализации угрозы (атаки)
Нарушение конфиденциальности
№
+ + + + + +
3.4.3 Особенности построения СЗИ в АБС Особенности построения систем защиты в АБС: -
обязательность выполнения требований законодательства по обеспечению банковской тайны, электронным денежным переводам и ЭЦП;
-
обязательность административного управления доступом;
-
обязательность ролевого управления доступом;
-
обязательность использования модели взаимного недоверия (правило "двух рук");
-
необходимость документов;
обеспечения
надежного
сохранения
архива
электронных
расчетных
198 -
необходимость защиты информации как внутри системы, так и на уровне ОС;
-
необходимость защиты информации при обмене между банками, банками и их территориально удаленными отделениями, банками и клиентами. 3.4.3.1 Функциональная спецификация КСЗ СЗИ в АБС
КА-2 – базовая административная конфиденциальность; КВ-2 – базовая конфиденциальность при обмене; КО-1 – повторное использование объектов; ЦА-2 – базовая административная целостность; ЦВ-2 – базовая целостность при обмене; ДР-1 – квоты; ДС-2 – устойчивость с ухудшением характеристик обслуживания; ДЗ-2 – ограниченная горячая замена; ДВ-2 – автоматизированное восстановление; НР-2 – защищенный журнал; НО-2 – разграничение обязанностей администраторов; НЦ-2 – КСЗ с гарантированной целостностью; НТ-2 – самотестирование при старте; НИ-2 – одиночная идентификация и аутентификация; НК-1 – достоверный канал; НВ-2 – аутентификация источника данных; НА-2 – аутентификация отправителя с подтверждением; НП-2 – аутентификация получателя с подтверждением. 3.4.3.2 Политика функциональных услуг безопасности и используемые механизмы защиты КА-2 – базовая административная конфиденциальность Политика данной услуги должна быть реализована относительно объектов: - электронных расчетных документов в виде следующих информационных объектов: -
структурированных записей (файлов) при сохранении в хранилище электронных расчетных документов АБС (ФС, сервер СУБД);
-
структурированных объектов в оперативной памяти сервера приложений;
информационных объектов, содержащих сведения о клиентах, составляющие банковскую тайну, в виде следующих информационных объектов:
199 -
структурированных записей при сохранении в хранилище данных АБС (ФС, сервер СУБД);
-
информационных объектов в оперативной памяти сервера приложений;
информационных
объектов,
содержащих
сводные
сведения
(отчетность)
по
банку,
составляющие банковскую тайну, в виде следующих информационных объектов: -
структурированных и неструктурированных записей при сохранении в хранилище данных АБС (ФС, сервер СУБД);
-
структурированных и неструктурированных записей (файлов отчетов) в процессе сохранения и обработки на ФС и РС АБС;
-
информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС, РС - в процессе обработки).
-
программных средств АБС в виде файлов. Политика
услуги
должна
обеспечивать
предотвращение
реализации
угроз
конфиденциальности путем несанкционированного доступа к файлам данных и записям БД (предотвращая возможность их несанкционированного чтения), а также к файлам программных средств (предотвращая возможность их несанкционированного запуска). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений. Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе списков управления доступом). КВ-2 – базовая конфиденциальность при обмене Политика данной услуги должна быть реализована относительно объектов: -
электронных расчетных документов в виде следующих информационных объектов: -
структурированных сообщений при передаче по каналам сети передачи данных (во внутрибанковских и межбанковских системах распределенной архитектуры, системах "клиент-банк"). Политика
услуги
должна
обеспечивать
предотвращение
реализации
угроз
конфиденциальности путем перехвата сообщений, передаваемых по каналам сети передачи данных в системах распределенной архитектуры (предотвращая возможность ознакомления с их содержимым). Средства реализации услуги должны функционировать в таких компонентах ИТС:
200 -
серверы приложений (серверы СУБД), через которые осуществляется обмен данными;
-
программные средства клиентов системы "клиент-банк".
Для реализации услуги должны использоваться такие механизмы: - шифрование (симметричное). КО-1 – повторное использование объектов Политика данной услуги должна быть реализована относительно объектов: - электронных расчетных документов в виде следующих информационных объектов: -
структурированных записей (файлов) при сохранении в хранилище электронных расчетных документов АБС (ФС, сервер СУБД);
-
структурированных объектов в оперативной памяти сервера приложений;
информационных объектов, содержащих сведения о клиентах, составляющие банковскую тайну в виде:
-
-
структурированных записей при сохранении в хранилище данных АБС (ФС, сервер СУБД);
-
информационных объектов в оперативной памяти сервера приложений;
информационных
объектов,
содержащих
сводные
сведения
(отчетность)
по
банку,
составляющие банковскую тайну в виде: -
структурированных и неструктурированных записей при сохранении в хранилище данных АБС (ФС, сервер СУБД);
-
структурированных и неструктурированных записей (файлов отчетов) в процессе сохранения и обработки на ФС и РС АБС;
-
информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки). Политика
услуги
должна
обеспечивать
предотвращение
реализации
угроз
конфиденциальности путем выполнения операций "Сбора мусора". Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений. Для реализации услуги должны использоваться такие механизмы:
-
очистка дисковой и оперативной памяти после удаления информационных объектов/ перед предоставлением памяти под размещение других объектов;
-
удаление атрибутов доступа (списков управления доступом) при удалении объекта.
201 ЦА-2 – базовая административная целостность Политика данной услуги должна быть реализована относительно объектов: - электронных расчетных документов в виде следующих информационных объектов: -
структурированных записей (файлов) при сохранении в хранилище электронных расчетных документов АБС (ФС, сервер СУБД);
-
структурированных объектов в оперативной памяти сервера приложений;
информационных объектов, содержащих сведения о клиентах, составляющие банковскую тайну в виде:
-
-
структурированных записей при сохранении в хранилище данных АБС (ФС, сервер СУБД);
-
информационных объекты в оперативной памяти сервера приложений;
информационных
объектов,
содержащих
сводные
сведения
(отчетность)
по
банку,
составляющие банковскую тайну в виде: -
структурированных и неструктурированных записей при сохранении в хранилище данных АБС (ФС, сервер СУБД);
-
структурированных и неструктурированных записей (файлов отчетов) в процессе сохранения и обработки на ФС и РС АБС;
-
информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС, РС - в процессе обработки).
-
программных средств АБС в виде файлов. Политика услуги должна обеспечивать предотвращение реализации угроз целостности и
использования вредоносных программных средств путем несанкционированного доступа к файлам
данных
и
файлам
программных
средств
(предотвращая
возможность
несанкционированного создания, модификации или удаления). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений. Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе списков управления доступом). ЦВ-2 – базовая целостность при обмене Политика данной услуги должна быть реализована относительно объектов: -
электронных расчетных документов в виде следующих информационных объектов:
их
202 -
структурированных сообщений при передаче по каналам сети передачи данных (во внутрибанковских и межбанковских системах распределенной архитектуры, системах "клиент-банк"). Политика услуги должна обеспечивать предотвращение реализации угроз целостности
путем искажения, уничтожения или нарушения целостности потока сообщений, передаваемых по каналам сети передачи данных в системах распределенной архитектуры (обнаруживая факты их модификации, вставки или удаления). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
серверах приложений (серверах СУБД), через которые осуществляется обмен данными;
-
программных средствах клиентов системы "клиент-банк". Для реализации услуги должны использоваться такие механизмы:
- контроль целостности по ККЦ. ДР-1 – квоты Политика данной услуги должна быть реализована относительно объектов: -
электронных расчетных документов в виде следующих информационных объектов: -
структурированных записей (файлов) при сохранении в хранилище электронных расчетных документов АБС (ФС, сервер СУБД);
-
структурированных объектов в оперативной памяти сервера приложений;
информационных объектов, содержащих сведения о клиентах, составляющие банковскую тайну в виде:
-
-
структурированных записей при сохранении в хранилище данных АБС (ФС, сервер СУБД);
-
информационных объектов в оперативной памяти сервера приложений;
информационных
объектов,
содержащих
сводные
сведения
(отчетность)
по
банку,
составляющие банковскую тайну в виде: -
структурированных и неструктурированных записей при сохранении в хранилище данных АБС (ФС, сервер СУБД);
-
структурированных и неструктурированных записи (файлов отчетов) в процессе сохранения и обработки на ФС АБС. Политика услуги должна обеспечивать предотвращение реализации угроз доступности
путем захвата чрезмерного объема ресурсов серверов ФС ЛВС, серверов СУБД и серверов приложений. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС (по отношению к выделяемому дисковому пространству);
-
серверы СУБД (по отношению к выделяемому объему таблиц БД);
203 -
серверы приложений (по отношению к выделяемым объемам вычислительных ресурсовпроцессорному времени, оперативной памяти). Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе списков управления доступом). ДС-2 – устойчивость с ухудшением характеристик обслуживания ДЗ-2 – ограниченная горячая замена ДВ-2 – автоматизированное восстановление Должны быть реализованы относительно всех компонентов ИТС, входящих в состав АБС (в банке): -
ФС ЛВС;
-
РС ЛВС;
-
серверов СУБД;
-
серверов приложений;
-
клиентов серверов приложений;
-
программных средств клиентов системы "клиент-банк";
-
средств маршрутизации пакетов сетевых протоколов;
-
каналов передачи данных. Политики услуг должны обеспечивать предотвращение или минимизацию последствий
реализации угроз доступности, приводящих с нарушению работоспособности компонентов ИТС. Для реализации услуг должны использоваться такие механизмы: -
управление маршрутом (по отношению к каналам передачи данных);
-
дублирование критичных компонентов (разделяемых ресурсов) в режиме "горячей замены" (частично);
-
резервирование программных средств и информации с возможностью автоматизированного/ ручного восстановления. НР-2 – защищенный журнал Должна быть реализована относительно всех защищенных объектов во всех видах
представления. Политика услуги должна обеспечивать возможность аудита действий пользователей, услуга является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
204 -
серверы СУБД;
-
серверы приложений;
-
клиенты серверов приложений;
-
программные средствах клиента системы "клиент-банк";
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
- регистрация и аудит. НО-2 – разграничение обязанностей администраторов Должна быть реализована относительно всех защищенных объектов во всех видах представления (в АБС в банке). Политика услуги должна обеспечивать возможность управления средствами защиты только уполномоченным пользователям с разграничением (с целью обеспечения взаимного контроля) их обязанностей и является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений;
-
клиенты серверов приложений;
-
программные средства клиента системы "клиент-банк";
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе ролей, полномочий). НЦ-2 – КСЗ с гарантированной целостностью Политика данной услуги должна быть реализована относительно объектов: -
ПС ФС ЛВС; ПС РС ЛВС; ПС серверов СУБД; ПС серверов приложений; ПС клиентов серверов приложений; ПС средств маршрутизации пакетов сетевых протоколов, ПС средств коммутации пакетов сетевых протоколов. Политика услуги должна предотвращать возможность нарушения целостности средств
защиты и является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС:
205 -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений;
-
клиенты серверов приложений;
-
программные средства клиента системы "клиент-банк";
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
- контроль целостности по ККЦ, управление доступом. НТ-2 – самотестирование при старте Политика данной услуги должна быть реализована относительно объектов: -
ПС ФС ЛВС; ПС РС ЛВС; ПС серверов СУБД; ПС серверов приложений; ПС клиентов серверов приложений; ПС средств маршрутизации пакетов сетевых протоколов, ПС средств коммутации пакетов сетевых протоколов. Политика услуги должна обеспечивать возможность проверки работоспособности средств
защиты при старте КСЗ с оповещением уполномоченного пользователя и прекращением дальнейшего функционирования до восстановления работоспособности средств защиты. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений;
-
клиенты серверов приложений;
-
программные средства клиента системы "клиент-банк";
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
- контроль целостности по ККЦ. НИ-2 – одиночная идентификация и аутентификация Политика данной услуги должна быть реализована относительно объектов: -
пользователи ЛВС;
-
пользователи СУБД;
206 -
пользователи АБС;
-
пользователи системы "клиент-банк". Политика услуги должна обеспечивать возможность идентификации и подтверждения
подлинности (аутентификации) пользователей АБС и является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений;
-
клиенты серверов приложений;
-
программные средствах клиента системы "клиент-банк". Для реализации услуги должны использоваться такие механизмы:
- аутентификация одноуровневых объектов (на основе принципов "что-то знаю", "чем-то владею"). НК-1 – достоверный канал Политика данной услуги должна быть реализована относительно объектов: -
пользователи ЛВС;
-
пользователи СУБД;
-
пользователи АБС;
-
пользователи системы "клиент-банк". Политика услуги должна обеспечивать возможность защиты канала взаимодействия между
пользователем и КСЗ в процессе аутентификации пользователя (от перехвата данных аутентификации с использованием программ типа "троянский конь") и является необходимой для корректной реализации услуги "Одиночная идентификация и аутентификация". Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверы СУБД;
-
серверы приложений;
-
клиенты серверов приложений;
-
программные средства клиента системы "клиент-банк"; Для реализации услуги должны использоваться такие механизмы:
- организация канала непосредственного взаимодействия пользователя с КСЗ.
207 НВ-2 – аутентификация источника данных Политика данной услуги должна быть реализована относительно объектов: -
пакетов протокола транспортного уровня при обмене между серверами СУБД (серверами приложений) в системах распределенной архитектуры. Политика услуги должна обеспечивать предотвращение реализации угроз, связанных с
перехватом данных аутентификации, передаваемых между компонентами АБС, с последующим "маскарадом" или навязыванием ложных маршрутов передачи сообщений. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
серверы СУБД;
-
серверы приложений. Для реализации услуги должны использоваться такие механизмы:
-
аутентификация (с использованием механизма шифрования или механизма выработки криптографического ККЦ). НА-2 – аутентификация отправителя с подтверждением Политика данной услуги должна быть реализована относительно объектов:
-
электронных расчетных документов в виде следующих информационных объектов: -
структурированных записей при сохранении в хранилище электронных расчетных документов АБС (сервере СУБД);
-
структурированных сообщений при передаче по каналам сети передачи данных (во внутрибанковских и межбанковских системах распределенной архитектуры, системах "клиент-банк"); Политика услуги должна обеспечивать предотвращение реализации угроз, связанных с
отказом отправителей от фактов передачи сообщений или с навязыванием ложных сообщений во всех компонентах АБС, с возможностью подтверждения факта причастности к передаче сообщения доверенной третьей стороной. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
клиенты сервера приложений АБС;
-
программные средства клиента системы "клиент-банк". Для реализации услуги должны использоваться такие механизмы:
-
цифровая подпись сообщений с использованием нотаризации (сертификатов открытых ключей), не менее двух ЭЦП для исполнения документа. НП-2 – аутентификация получателя с подтверждением Политика данной услуги должна быть реализована относительно объектов:
208 -
электронных расчетных документов в виде следующих информационных объектов: -
структурированных записей при сохранении в хранилище электронных расчетных документов АБС (сервере СУБД);
-
структурированных сообщений при передаче по каналам сети передачи данных (во внутрибанковских и межбанковских системах распределенной архитектуры, системах "клиент-банк"); Политика услуги должна обеспечивать предотвращение реализации угроз, связанных с
отказом получателей от фактов приема сообщений, с возможностью подтверждения факта причастности к приему сообщения доверенной третьей стороной. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
клиенты сервера приложений АБС;
-
программные средства клиента системы "клиент-банк". Для реализации услуги должны использоваться такие механизмы:
-
цифровая подпись квитанций на сообщения с использованием нотаризации (сертификатов открытых ключей). В рамках реализации услуги НЦ-2 в банке могут быть задействованы средства
обнаружения атак и антивирусной защиты. В АБС локализованной архитектуры и в программных средствах клиентской части системы "клиент-банк" уровни услуг устойчивость к отказам, горячая замена и восстановление после сбоев могут быть понижены на один уровень (до уровня ДС-1 – устойчивость при ограниченных отказах, ДЗ-1 – модернизация, ДВ-1 – ручное восстановление). В АБС локализованной архитектуры и в программных средствах клиентской части системы "клиент-банк" уровень услуги целостность КСЗ может быть понижен на один уровень (до уровня НЦ-1 – КСЗ с контролем целостности). В клиентской части систем "клиент-банк" уровень услуги разграничение обязанностей может быть понижен на один уровень (до уровня НО-1 – выделение администратора). В клиентской части систем "клиент-банк" уровень услуги регистрация может быть понижен на один уровень (до уровня НР-1 – внешний журнал). Если использующие АБС юридические лица на договорных началах признают ЭЦП без сертификата ключа, уровни услуг аутентификация отправителя и аутентификация получателя могут быть понижены на один уровень (до уровня НА-1 – базовая аутентификация отправителя, НП-1 – базовая аутентификация получателя).
209 3.4.3.3 Структура и состав СЗИ в АБС В составе СЗИ в АБС можно выделить: -
подсистему управления;
-
подсистему разграничения доступа;
-
подсистему криптографической защиты;
-
подсистему обнаружения атак и антивирусной защиты. 3.5 Особенности защиты информации в информационно-справочных системах 3.5.1 Назначение, состав и архитектура информационно-справочных систем Информационно-справочные системы (ИСС) – системы, предназначенные для обеспечения
доступа пользователей к хранилищам общедоступной справочной информации и реализации с этой целью необходимых функций по поиску требуемой информации, передаче ее пользователю и представлению в удобном для пользователя виде. Как правило, ИСС включает в себя подсистему администрирования ИСС и подсистему обеспечения доступа к информации ИСС (подсистему публикации). Подсистема администрирования ИСС предназначена для реализации функций, связанных с управлением структурой информационного хранилища ИСС, его информационным наполнением (вводом,
актуализацией
информации),
управлением
регламентом
и
правилами
доступа
пользователей к информационным ресурсам ИСС. Подсистема обеспечения доступа
к информации
ИСС (подсистема
публикации)
предназначена для обеспечения доступа конечных пользователей к ресурсам ИСС через сеть передачи данных и реализации бизнес-логики системы по поиску и представлению пользователям необходимой информации. На сегодняшний день большинство ИСС реализовано с использованием Web-технологий (представление информации в виде статически или динамически генерируемых HTML (XML) – страниц, передача ее с использованием протокола HTTP). Современные ИСС относятся, как правило, к системам распределенной двухуровневой или трехуровневой архитектуры. Основными компонентами подсистемы обеспечения доступа к информации ИСС с двухуровневой архитектурой являются: Web-сервер – сервер, обеспечивающий пользователям сети Internet (или любой другой сети со стеком протоколов TCP/IP) доступ к статически сгенерированным HTML (XML)-страницам, связанным между собой гипертекстовыми ссылками (по протоколу HTTP).
210 Web-клиент - программа, используемая для доступа к Web-серверу ИСС (по протоколу HTTP) с целью получения, форматирования и просмотра сгенерированных на сервере HTML (XML)страниц. Основными компонентами подсистемы обеспечения доступа к информации ИСС с трехуровневой архитектурой являются: Сервер СУБД – сервер, обеспечивающий управление хранилищем данных справочной и служебной информации ИСС; Сервер приложений/Web-сервер – сервер, реализующий бизнес-логику системы (поиск информации в СУБД на основе запроса пользователя, динамическую генерацию HTML (XML)страниц на основе выбранной информации) и обеспечивающий пользователям сети Internet (или любой другой сети со стеком протоколов TCP/IP) доступ к динамически сгенерированным HTML (XML)-страницам, связанным между собой гипертекстовыми ссылками (по протоколу HTTP). Web-клиент - программа, используемая для доступа к Web-серверу ИСС (по протоколу HTTP) с целью получения, форматирования и просмотра сгенерированных на сервере HTML (XML)страниц. Основными компонентами подсистемы администрирования ИСС с двухуровневой архитектурой являются: Сервер приложений – сервер, обеспечивающий возможность уполномоченным пользователям (администраторам) получать доступ к статически сгенерированным HTML (XML)-страницам, содержащим справочную информацию, связанным между собой гипертекстовыми ссылками (по соответствующему протоколу), а также служебным (конфигурационным) данным ИСС. Например, в простейшем случае в качестве такового может использоваться FTP-сервер. Клиент сервера приложений – программа, используемая для доступа к серверу приложений подсистемы администрирования ИСС (по соответствующему протоколу) с целью обеспечения возможности администратору ИСС выполнения соответствующих функций по управлению ИСС. Например, в простейшем случае в качестве такового может использоваться FTP-клиент. Основными компонентами подсистемы администрирования ИСС с трехуровневой архитектурой являются: Сервер СУБД – сервер, обеспечивающий управление хранилищем данных справочной и служебной информации ИСС; Сервер приложений – сервер, обеспечивающее возможность уполномоченным пользователям (администраторам) получать доступ к хранилищу базы данных справочной и служебной информации ИСС по соответствующему протоколу (например, протоколу SOAP) и реализации необходимых функций по управлению ИСС.
211 Клиент сервера приложений - программа, используемая для доступа к серверу приложений подсистемы администрирования ИСС (по соответствующему протоколу) с целью обеспечения возможности администратору ИСС выполнения соответствующих функций по управлению ИСС. В общем случае в состав подсистем ИСС могут также входить следующие типовые компоненты ИТС: файловый сервер ЛВС, рабочая станция ЛВС, PROXY- сервер, устройства коммутации, устройства маршрутизации, каналы передачи данных. 3.5.2 Требования действующих НД ТЗИ по защите информации в ИСС Как и в любой другой ИТС, в ИСС должны быть удовлетворены требования законов Украины "О защите информации в ИТС", "Об информации". Кроме этого, в ИСС органов государственной власти (реализованных как с использованием собственных вычислительных ресурсов, так и на арендованных ресурсах провайдера) должны быть удовлетворены требования НД ТЗИ 2.5-010-03 "Требования по защите информации Webстраницы от несанкционированного доступа". НД ТЗИ 2.5-010-03 устанавливает требования к техническим и организационным мероприятиям защиты информации Web-страницы (Web-сайта) в сети Интернет, минимально необходимый перечень услуг безопасности информации и уровней их реализации в КСЗ информации Web-страницы от НСД. НД ТЗИ 2.5-010-03 предназначен для субъектов отношений (собственников или распорядителей Web-страницы, операторов (провайдеров), пользователей), деятельность которых связана с разработкой и эксплуатацией Web-страницы, разработчиков комплексной системы защиты информации (КСЗИ) и поставщиков отдельных ее компонентов, а также для физических и юридических лиц, которые осуществляют оценку защищенности Web-страницы на соответствие требованиям ТЗИ. Установленные НД ТЗИ 2.5-010-03 требования являются обязательными для выполнения государственными
органами,
Вооруженными
Силами
Украины,
другими
воинскими
формированиями, образованными согласно законам Украины, Советом Министров Автономной республики Крым и органами местного самоуправления, а также предприятиями, учреждениями и организациями всех форм собственности при решении задач защиты информации, являющейся собственностью государства и размещенной на Web-страницах. Для защиты других видов информации собственники Web-страниц используют требования данного НД ТЗИ по собственному усмотрению. Общие требования к организации защиты информации Web-страниц согласно НД ТЗИ 2.5010-03:
212 1. Организация, во время создания Web-страницы и определения операторов, узлы которых будут использоваться для подключения к сети Интернет, должна руководствоваться законами Украины, другими нормативно-правовыми актами, которые устанавливают требования по технической защите информации. 2. Web-страница организации может быть размещена на собственном сервере или на сервере, который является собственностью оператора. Собственник сервера обязан гарантировать собственнику информации уровень защиты в соответствии с требованиями данного НД ТЗИ. 3. Для обеспечения защиты информации Web-страницы должна быть реализована КСЗИ как совокупность организационных и инженерно-технических мероприятий, а также программноаппаратных средств, которые обеспечивают защиту информации. 4. Создание КСЗИ и ее экспертиза осуществляются в порядке, установленном действующими нормативными документами системы ТЗИ. 5. Перечень информации, предназначенной для публичного размещения на Web-странице, определяется с
учетом
требований
действующего
законодательства
и
утверждается
руководителем учреждения, которое является собственником Web-страницы. 6. Организация работ по защите информации и обеспечение контроля за состоянием ее защищенности
на
Web-странице
в
организации
осуществляется
ответственным
подразделением или ответственным лицом (службой защиты информации). 7. В случае использования услуг оператора по размещению, эксплуатации и администрированию Web-страницы собственник информации заключает с оператором договор (соглашение), в котором определяются права и обязанности сторон, условия подключения, размещения информации и обеспечения доступа к ней, другие вопросы, которые требуют урегулирования между собственником информации Web-страницы и оператором, исходя из требований законодательства в сфере защиты информации и данного НД ТЗИ. Информация в дальнейших разделах изложена с учетом требований НД ТЗИ 2.5-010-03. 3.5.3
Угрозы
информации,
характерные
для
ИСС.
Модель
потенциального
нарушителя в ИСС 3.5.3.1
Анализ
ИСС
как
объекта
защиты
и
определение
защищаемых
информационных ресурсов Согласно НД ТЗИ 2.5-010-03, основными информационными ресурсами, подлежащими защите в ИСС (информационными активами), являются:
213 -
информационные объекты, содержащие технологическую информацию ИСС;
-
информационные объекты, содержащие общедоступную информацию ИСС. Особенности ИСС как объекта защиты (согласно НД ТЗИ 2.5-010-03):
-
технологические особенности работы пользователей с общедоступной информацией Webстраницы определяются особенностями системного и функционального ПО, в частности Internet-броузеров, которыми они пользуются;
-
технологические особенности работы пользователей с технологической информацией ИСС определяются архитектурой ИСС, способами обработки и передачи технологической информации между компонентами ИСС и способами осуществления доступа к ней;
-
возможны следующие способы осуществления доступа к технологической информации ИСС (в т.ч. передачи данных для актуализации общедоступной информации): -
с рабочей станции подсистемы администрирования, размещенной в пределах одной ЛВС с Web-сервером и другими компонентами ИСС (на территории собственника Web-страницы или на территории оператора);
-
с рабочей станции подсистемы администрирования, размещенной за пределами ЛВС оператора, в которой находятся Web-сервер и другие компоненты ИСС (размещенной, например на территории собственника Web-страницы), взаимодействие внутри подсистемы администрирования при этом осуществляется по каналам сети передачи данных. Информационные объекты, содержащие технологическую информацию ИСС, могут быть
представлены в виде: -
структурированных и неструктурированных записей БД (сервер СУБД, сервер приложений подсистемы администрирования);
-
структурированных и неструктурированных файлов (ФС ЛВС);
-
структурированных и неструктурированных сообщений, передаваемых по сети передачи данных
(в
случае,
когда
взаимодействие
внутри
подсистемы
администрирования
осуществляется по каналам сети передачи данных). В штатном режиме функционирования ИСС к данным информационным объектам невозможен разделяемый доступ с целью просмотра и модификации. Информационные объекты, содержащие общедоступную информацию ИСС, могут быть представлены в виде: -
структурированных и неструктурированных записей БД (сервер СУБД, сервер приложений подсистемы обеспечения доступа к информации ИСС);
-
структурированных и неструктурированных сообщений в виде HTML(XML)- страниц (Webсервер);
-
структурированных и неструктурированных файлов HTML(XML)- страниц (ФС ЛВС);
214 В штатном режиме функционирования ИСС к данным информационным объектам возможен разделяемый доступ с целью просмотра. Наиболее значимыми (с точки зрения наносимого информационным активам ущерба) типами угроз информации в ИСС (согласно НД ТЗИ 2.5-010-03) являются угрозы с целью нарушения: -
конфиденциальности информации по отношению к информационным объектам, содержащим технологическую информацию ИСС, путем несанкционированного ознакомления;
-
целостности информации по отношению к информационным объектам, содержащим технологическую
информацию
ИСС
и
к
информационным
объектам,
содержащим
общедоступную информацию ИСС, путем несанкционированной модификации; -
доступности разделяемых ресурсов Web-сервера/сервера приложений (реализующего бизнеслогику), ФС, сервера СУБД (реализующего функции управления хранилищем данных ИСС) при доступе пользователей к информационным объектам, содержащим общедоступную информацию ИСС. 3.5.3.2 Модель потенциального нарушителя в ИСС В качестве потенциального нарушителя в ИСС (согласно НД ТЗИ 2.5-010-03) должны
рассматриваться: 1) любой сотрудник организации-владельца Web-страницы или организации-оператора, на ресурсах которого функционирует Web-страница; 2) сотрудник организации-владельца Web-страницы, не уполномоченный выполнять функции администрирования Web-страницей, функционирующей на ресурсах оператора; 3) любой внешний по отношению к оператору или к организации-владельцу Web-страницы, пользователь ИТС (в том числе и осуществляющий доступ к общедоступной информации). Сотрудник организации-владельца Web-страницы или организации-оператора, на ресурсах которого функционирует Web-страница: -
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в ИСС с использованием разделяемых ресурсов (сервер приложений подсистемы администрирования, сервер СУБД, ФС) информационным объектам, содержащим технологическую информацию ИСС (с целью их просмотра или модификации);
-
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в ИСС с использованием разделяемых ресурсов (сервер приложений подсистемы администрирования, сервер приложений подсистемы
215 обеспечения доступа / Web-сервер, сервер СУБД, ФС) информационным объектам, содержащим общедоступную информацию ИСС (с целью их модификации или удаления); -
с использованием штатных и нештатных средств может влиять на работоспособность разделяемых ресурсов ИСС, (сервер приложений подсистемы обеспечения доступа / Webсервер, ФС, сервера СУБД), активного сетевого оборудования. Сотрудник организации-владельца Web-страницы, не уполномоченный выполнять функции
администрирования Web-страницы, функционирующей на ресурсах оператора, или внешний по отношению к оператору или к организации-владельцу Web-страницы, пользователь ИТС: -
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в ИСС с использованием разделяемых ресурсов, взаимодействующих
с
сетью
администрирования,
сервер
передачи
СУБД,
ФС)
данных
(сервер
информационным
приложений
подсистемы
объектам,
содержащим
технологическую информацию ИСС (с целью их просмотра или модификации); -
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к информационным объектам, содержащим технологическую информацию ИСС, передаваемым между компонентами подсистемы администрирования ИСС по каналам сети передачи данных (с целью их просмотра, модификации или удаления);
-
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в ИСС с использованием разделяемых ресурсов, взаимодействующих
с
сетью
передачи
данных
(сервер
приложений
подсистемы
администрирования, сервер приложений подсистемы обеспечения доступа / Web-сервер, сервер СУБД, ФС) информационным объектам, содержащим общедоступную информацию ИСС (с целью их модификации или удаления); -
с использованием штатных и нештатных средств может влиять на работоспособность разделяемых ресурсов ИСС, взаимодействующих с сетью передачи данных (сервер приложений подсистемы обеспечения доступа / Web-сервер, ФС, сервер СУБД), активного сетевого оборудования и оборудования сети передачи данных. Таким образом, потенциальный нарушитель имеет возможность реализации всех типов
угроз (конфиденциальности, целостности и доступности) с использованием штатных средств ИСС, штатных и нештатных средств ОС используемых ФС, штатных и нештатных средств серверов СУБД, штатных и нештатных средств серверов приложений, штатных и нештатных средств управления активным сетевым оборудованием и оборудованием сети передачи данных.
216 3.5.4 Особенности построения систем защиты информации в ИСС 3.5.4.1 Функциональные спецификации КСЗ системы защиты информации в ИСС Функциональная спецификация КСЗ системы защиты информации в ИСС для технологии Т1 (Web-сервер и рабочие станции подсистемы администрирования размещаются в пределах ЛВС на территории собственника Web-страницы или на территории оператора): КА-2 – базовая административная конфиденциальность; ЦА-1 – минимальная административная целостность; ЦО-1 – ограниченный откат; ДР-1 – квоты; ДВ-1 – ручное восстановление; НР-2 – защищенный журнал; НО-1 – выделение администратора; НЦ-1 – КСЗ с контролем целостности; НТ-1 – самотестирование по запросу; НИ-2 – одиночная идентификация и аутентификация; НК-1 – достоверный канал; Функциональная спецификация КСЗ системы защиты информации в ИСС для технологии Т2
(Web-сервер
размещается
на
территории
оператора,
рабочие
станции
подсистемы
администрирования размещаются на территории собственника Web-страницы, взаимодействие внутри подсистемы администрирования осуществляется по каналам сети передачи данных): КА-2 – базовая административная конфиденциальность; КВ-1 - минимальная конфиденциальность при обмене; ЦА-1 – минимальная административная целостность; ЦО-1 – ограниченный откат; ЦВ-1 - минимальная целостность при обмене; ДР-1 – квоты; ДВ-1 – ручное восстановление; НР-2 – защищенный журнал; НО-1 – выделение администратора; НЦ-1 – КСЗ с контролем целостности; НТ-1 – самотестирование по запросу; НИ-2 – одиночная идентификация и аутентификация; НК-1 – достоверный канал;
217 НВ-1 – аутентификация узла. 3.5.4.2 Политика функциональных услуг безопасности и используемые механизмы защиты КА-2 – базовая административная конфиденциальность Политика данной услуги должна быть реализована относительно: -
информационных объектов, содержащих технологическую информацию ИСС в виде: -
структурированных и неструктурированных записей БД (сервер СУБД, сервер приложений подсистемы администрирования);
-
структурированных и неструктурированных файлов (ФС ЛВС);
программных средств ИСС в виде файлов. Политика
услуги
должна
обеспечивать
предотвращение
реализации
угроз
конфиденциальности путем несанкционированного доступа к файлам данных и записям БД (предотвращая возможность их несанкционированного чтения), а также к файлам программных средств (предотвращая возможность их несанкционированного запуска). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
сервер СУБД;
-
сервер приложений подсистемы администрирования. Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе списков управления доступом). КВ-1 - минимальная конфиденциальность при обмене Политика данной услуги должна быть реализована относительно: -
информационных объектов, содержащих технологическую информацию ИСС в виде: -
структурированных и неструктурированных сообщений, передаваемых по каналам сети передачи данных; Политика
услуги
должна
обеспечивать
предотвращение
реализации
угроз
конфиденциальности путем перехвата сообщений, передаваемых по каналам сети передачи данных (предотвращая возможность ознакомления с их содержимым). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
серверах приложений подсистемы администрирования ИСС;
-
клиентах серверов приложений подсистемы администрирования ИСС. Для реализации услуги должны использоваться такие механизмы:
-
шифрование (симметричное).
218 ЦА-1 – минимальная административная целостность Политика данной услуги должна быть реализована относительно: -
информационных объектов, содержащих технологическую информацию ИСС в виде: -
структурированных и неструктурированных записей БД (сервер СУБД, сервер приложений подсистемы администрирования);
-
структурированных и неструктурированных файлов (ФС ЛВС);
информационных объектов, содержащих общедоступную информацию ИСС в виде: -
структурированных и неструктурированных записей БД (сервер СУБД, сервер приложений подсистемы администрирования, сервер приложений подсистемы обеспечения доступа к информации ИСС);
-
структурированных и неструктурированных сообщений в виде HTML(XML)- страниц (Web-сервер);
-
структурированных и неструктурированных файлов HTML(XML)- страниц (ФС ЛВС);
программных средств ИСС в виде файлов. Политика услуги должна обеспечивать предотвращение реализации угроз целостности
путем несанкционированного доступа к файлам данных и записям БД, а также к файлам программных
средств
(предотвращая
возможность
их
несанкционированного
создания,
модификации или удаления). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
сервер СУБД;
-
сервер приложений подсистемы администрирования;
-
сервер приложений подсистемы обеспечения доступа к информации;
-
Web-сервер. Для реализации услуги должны использоваться такие механизмы:
-
управление доступом (на основе списков управления доступом). ЦО-1 – ограниченный откат Политика данной услуги должна быть реализована относительно:
-
информационных объектов, содержащих технологическую информацию ИСС в виде: -
структурированных и неструктурированных записей БД (сервер СУБД, сервер приложений подсистемы администрирования);
-
структурированных и неструктурированных файлов (ФС ЛВС);
информационных объектов, содержащих общедоступную информацию ИСС в виде:
219 -
структурированных и неструктурированных записей БД (сервер СУБД, сервер приложений подсистемы администрирования);
-
структурированных и неструктурированных файлов HTML(XML)- страниц (ФС ЛВС);
программных средств ИСС в виде файлов. Политика данной услуги должна обеспечивать предотвращение угроз нарушения
целостности путем обеспечения возврата информационных объектов, целостность которых была нарушена, в предыдущее известное состояние. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
сервер СУБД;
-
сервер приложений подсистемы администрирования. Для реализации услуги должны использоваться такие механизмы:
-
обеспечение целостности путем репликации данных;
-
обеспечение целостности путем повтора сообщений;
-
контроль целостности по ККЦ;
-
контроль целостности по контексту. ЦВ-1 - минимальная целостность при обмене Политика данной услуги должна быть реализована относительно:
-
информационных объектов, содержащих технологическую информацию ИСС в виде: -
структурированных и неструктурированных сообщений, передаваемых по сети передачи данных; Политика услуги должна обеспечивать предотвращение реализации угроз целостности
путем искажения сообщений, передаваемых по каналам сети передачи данных (обнаруживая факты их модификации). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
серверах приложений подсистемы администрирования ИСС;
-
клиентах серверов приложений подсистемы администрирования ИСС. Для реализации услуги должны использоваться такие механизмы:
-
контроль целостности по ККЦ. ДР-1 – квоты Политика данной услуги должна быть реализована относительно:
-
информационных объектов, содержащих технологическую информацию ИСС в виде:
220 -
структурированных и неструктурированных записей БД (сервер СУБД, сервер приложений подсистемы администрирования);
-
структурированных и неструктурированных файлов (ФС ЛВС);
информационных объектов, содержащих общедоступную информацию ИСС в виде: -
структурированных и неструктурированных записей БД (сервер СУБД, сервер приложений подсистемы обеспечения доступа к информации ИСС);
-
структурированных и неструктурированных сообщений в виде HTML(XML)- страниц (Web-сервер);
-
структурированных и неструктурированных файлов HTML(XML)- страниц (ФС ЛВС). Политика услуги должна обеспечивать предотвращение реализации угроз доступности
путем захвата чрезмерного объема ресурсов серверов ФС ЛВС, сервера СУБД, Web-сервера и серверов приложений. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС (по отношению к выделяемому дисковому пространству);
-
сервер СУБД (по отношению к выделяемому объему таблиц БД);
-
сервер приложений подсистемы администрирования;
-
сервер приложений подсистемы обеспечения доступа (по отношению к выделяемым объемам вычислительных ресурсов- процессорному времени, оперативной памяти);
-
Web-сервер (по отношению к выделяемым объемам вычислительных ресурсов- процессорному времени, оперативной памяти, количеству устанавливаемых соединений). Для реализации услуги должны использоваться такие механизмы:
-
управление доступом (на основе списков управления доступом или на основе меток) с контролем установленных ограничений. ДВ-1 – ручное восстановление Должна быть реализована относительно всех компонентов ИТС, входящих в состав ИСС,
через которые обеспечивается доступ к разделяемым ресурсам: -
ФС ЛВС;
-
РС ЛВС (используемых подсистемой администрирования);
-
сервер СУБД;
-
сервер приложений подсистемы администрирования;
-
клиент сервера приложений подсистемы администрирования;
-
сервер приложений подсистемы обеспечения доступа;
-
Web-сервер;
-
средства маршрутизации пакетов сетевых протоколов;
221 -
средства коммутации пакетов сетевых протоколов;
-
канал передачи данных. Политика услуги должна обеспечивать минимизацию последствий реализации угроз
доступности, приводящих с нарушению работоспособности компонентов ИТС. Для реализации услуги должны использоваться такие механизмы: -
резервирование программных средств и информации с возможностью ручного восстановления. НР-2 – защищенный журнал Должна быть реализована относительно всех защищенных объектов во всех видах
представления. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС (используемых подсистемой администрирования);
-
сервер СУБД;
-
сервер приложений подсистемы администрирования;
-
клиент сервера приложений подсистемы администрирования;
-
сервер приложений подсистемы обеспечения доступа;
-
Web-сервер;
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Политика услуги должна обеспечивать возможность аудита действий пользователей и
является необходимой для корректной реализации остальных услуг. Для реализации услуги должны использоваться такие механизмы: -
регистрация и аудит. НО-1 – выделение администратора Должна быть реализована относительно всех защищенных объектов и пользователей во
всех видах представления. Политика услуги должна обеспечивать возможность управления средствами защиты только уполномоченным пользователям и является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС (используемых подсистемой администрирования);
-
сервер СУБД;
222 -
сервер приложений подсистемы администрирования;
-
клиент сервера приложений подсистемы администрирования;
-
сервер приложений подсистемы обеспечения доступа;
-
Web-сервер;
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
-
управление доступом (на основе ролей, полномочий). НЦ-1 – КСЗ с контролем целостности Политика данной услуги должна быть реализована относительно объектов:
-
ПС ИСС, включенных в состав КСЗ. Политика услуги должна обеспечивать возможность обнаружения нарушения целостности
средств защиты и является необходимой для корректной реализации остальных услуг с прекращением дальнейшего функционирования до восстановления целостности средств защиты в случае обнаружения ее нарушения. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС (используемых подсистемой администрирования);
-
сервер СУБД;
-
сервер приложений подсистемы администрирования;
-
клиент сервера приложений подсистемы администрирования;
-
сервер приложений подсистемы обеспечения доступа;
-
Web-сервер;
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
-
контроль целостности по ККЦ. НТ-1 – самотестирование по запросу Политика данной услуги должна быть реализована относительно объектов:
-
ПС ИСС, включенных в состав КСЗ. Политика услуги должна обеспечивать возможность проверки работоспособности средств
защиты
по
запросу
уполномоченного
пользователя
с
прекращением
дальнейшего
223 функционирования
до
восстановления работоспособности средств защиты
в случае
обнаружения нарушения работоспособности. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС (используемых подсистемой администрирования);
-
сервер СУБД;
-
сервер приложений подсистемы администрирования;
-
клиент сервера приложений подсистемы администрирования;
-
сервер приложений подсистемы обеспечения доступа;
-
Web-сервер;
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
-
контроль целостности по ККЦ. НИ-2 – одиночная идентификация и аутентификация Политика данной услуги должна быть реализована относительно:
-
пользователей, выполняющих функции администрирования КСЗ ИСС и управления ИСС. Политика услуги должна обеспечивать возможность идентификации и подтверждения
подлинности (аутентификации) пользователей ИСС и является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС (используемых подсистемой администрирования);
-
сервер СУБД;
-
сервер приложений подсистемы администрирования;
-
клиент сервера приложений подсистемы администрирования;
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
-
аутентификация одноуровневых объектов (на основе принципов "что-то знаю", "чем-то владею"). НК-1 – достоверный канал Политика данной услуги должна быть реализована относительно:
224 -
пользователей, выполняющих функции администрирования КСЗ ИСС и управления ИСС. Политика услуги должна обеспечивать возможность защиты канала взаимодействия между
пользователем и КСЗ в процессе аутентификации пользователя (от перехвата данных аутентификации с использованием программ типа "троянский конь") и является необходимой для корректной реализации услуги "Одиночная идентификация и аутентификация". Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС (используемых подсистемой администрирования);
-
сервер СУБД;
-
сервер приложений подсистемы администрирования;
-
клиент сервера приложений подсистемы администрирования;
-
средства маршрутизации пакетов сетевых протоколов;
-
средства коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
-
организация
канала
непосредственного
взаимодействия
пользователя
с
КСЗ
(при
использовании технологии Т2 - с использованием криптографических механизмов – аутентификация с использованием механизма шифрования или механизма выработки криптографического ККЦ, с последующим шифрованием данных, передаваемых по соединению). При использовании технологии Т2 средства реализации услуги могут быть совмещены со средствами реализации услуги НВ-1. НВ-1 – аутентификация узла Политика данной услуги должна быть реализована относительно: -
компонентов подсистемы администрирования ИСС. Политика услуги должна обеспечивать предотвращение реализации угроз, связанных с
перехватом
данных
аутентификации,
передаваемых
между
компонентами
подсистемы
администрирования ИСС, с последующим "маскарадом" или навязыванием ложных маршрутов передачи сообщений. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
сервер приложений подсистемы администрирования;
-
клиент сервера приложений подсистемы администрирования; Для реализации услуги должны использоваться такие механизмы:
-
аутентификация (с использованием механизма шифрования или механизма выработки криптографического ККЦ).
225 В рамках реализации услуги НЦ-1 могут быть задействованы средства обнаружения атак и антивирусной защиты. 3.5.4.4 Структура и состав СЗИ в ИСС В составе СЗИ в ИСС можно выделить: -
подсистему управления;
-
подсистему разграничения доступа;
-
подсистему криптографической защиты;
-
подсистему обнаружения атак и антивирусной защиты;. 3.6 Особенности защиты информации в сложных корпоративных ИТС 3.6.1 Назначение, состав и архитектура сложных корпоративных ИТС Сложная корпоративная ИТС – ИТС, построенная на основе РВС и предназначенная для
автоматизации
разнородных
бизнес-процедур
крупного
территориально-распределенного
предприятия или организации. В состав сложной корпоративной ИТС в качестве прикладных подсистем могут входить специализированные ИТС любого из рассмотренных ранее типов, например системы ЭП; системы ЭДО; элементы АБС, например, система "Клиент-банк"; ИСС, а также любые другие прикладные подсистемы, предназначенные для автоматизации различных бизнес-процедур. В составе сложной корпоративной ИТС могут использоваться любые типовые компоненты ИТС: -
каналы передачи данных (обмена данными);
-
устройства коммутации пакетов;
-
устройства маршрутизации пакетов;
-
ФС ЛВС;
-
рабочие станции ЛВС;
-
серверы приложений общего назначения;
-
клиенты серверов приложений общего назначения;
-
серверы СУБД;
-
клиенты СУБД;
-
серверы системы ЭП;
-
клиенты системы ЭП;
-
Web-серверы;
-
Proxy-серверы.
226 Прикладные подсистемы, входящие в состав сложной корпоративной ИТС, могут относиться к архитектуре ИТС любого типа: -
локализованной файл-серверной;
-
локализованной и распределенной двухуровневой клиент-серверной;
-
локализованной и распределенной трехуровневой клиент-серверной. 3.6.2 Угрозы информации, характерные для сложных корпоративных ИТС. Модель
потенциального нарушителя в сложных корпоративных ИТС С учетом структуры и состава сложных корпоративных ИТС, а также различного характера обрабатываемой в различных подсистемах информации, требующие защиты информационные ресурсы (информационные активы) и модель потенциального нарушителя должны определяться для каждой прикладной подсистемы отдельно (по аналогии с рассмотренными ранее для ИТС различного назначения). Совокупная модель потенциального нарушителя должна объединять возможности нарушителей, характерные для каждой прикладной подсистемы. При определении потенциальных угроз информации должны быть учтены следующие особенности
сложных
корпоративных
ИТС,
влияющие
на
обеспечение
защищенности
обрабатываемой информации (с точки зрения использования различных способов реализации угроз информации): -
территориальная распределенность;
-
распределенность информационных ресурсов внутри ИТС;
-
интеграция с распределенными сетями;
-
неоднородность с точки зрения функционального назначения входящих в состав ИТС компонентов (файловые серверы, серверы приложений (HTTP, FTP и т.п.), серверы СУБД, рабочие станции, активное сетевое оборудование - устройства маршрутизации, устройства коммутации и т.п.);
-
неоднородность с точки зрения используемых ОС и прикладных программных средств;
-
распределение обязанностей по администрированию ОС, прикладных систем и других компонентов ИТС между различными лицами. Указанные особенности приводят к тому, что в сложных корпоративных ИТС достаточно
высока вероятность реализации угроз информации всех типов (конфиденциальности, целостности и доступности) различного характера и природы: -
объективных, например, вызванными изменением условий физической среды или отказом элементов ИТС;
-
субъективных, например, ошибок пользователей или действия нарушителей;
-
случайных (неумышленных);
227 -
преднамеренных, т.е. являющихся результатом намеренных действий пользователей ИТС или сторонних лиц по реализации различных угроз информации;
-
прямых – напрямую связанными с нарушением установленных в ИТС ПРД;
-
непрямых (косвенных) – таких, которые напрямую не приводят к нарушению установленных в ИТС ПРД, но в некоторых случаях могут привести к нарушению принятой политики безопасности (ПБ);
-
внутренних, вызванных действиями пользователей ИТС или другими внутренними факторами;
-
внешних, вызванных действиями сторонних лиц или внешними по отношению к ККС обстоятельствами. Важно помнить, что, по различным данным, до 80 процентов нарушений в ИТС различного
типа является внутренними. 3.6.3 Особенности построения систем защиты информации в сложных корпоративных ИТС Особенности сложных корпоративных ИТС, влияющие на обеспечение защищенности обрабатываемой информации (с точки зрения влияния на структуру и состав СЗИ): -
территориальная распределенность;
-
распределенность информационных ресурсов внутри ИТС;
-
интеграция с распределенными сетями;
-
неоднородность с точки зрения функционального назначения входящих в состав ИТС компонентов (файловые серверы, серверы приложений (HTTP, FTP и т.п.), серверы СУБД, рабочие станции, активное сетевое оборудование - устройства маршрутизации, устройства коммутации и т.п.);
-
неоднородность с точки зрения используемых ОС и прикладных программных средств;
-
реализация в большинстве используемых компонентов тех или иных стандартных (штатных) средств защиты, реализующих те или иные механизмы защиты информации (те или иные функциональные услуги безопасности) и возможность использования данных средств в КСЗ;
-
распределение обязанностей по администрированию ОС, прикладных систем и других компонентов ИТС между различными лицами;
-
отсутствие
единых
средств
управления
средствами
защиты
и
средств
контроля
функционирования средств защиты информации. Функциональный профиль защищенности информации в сложных корпоративных ИТС должен разрабатываться с учетом особенностей политики реализации функциональных услуг безопасности при реализации КСЗ информации в каждой прикладной подсистеме. Важным
228 является использование централизованных средств администрирования средств защиты и централизованных средств контроля соблюдения политики безопасности. 3.7 Особенности защиты информации в системах обработки информации с ограниченным доступом 3.7.1
Назначение,
состав
и
архитектура
систем
обработки
информации
с
ограниченным доступом Системы обработки информации с ограниченным доступом (ИсОД) – системы, предназначенные для автоматизации обработки информации, которая, в соответствии с действующим законодательством, отнесена к ИсОД. В зависимости от вида обрабатываемой информации и реализуемой технологии ее обработки системы обработки ИсОД могут относится к системам файл-серверной архитектуры, локализованной или распределенной двухуровневой или трехуровневой архитектуры. В общем случае в состав систем обработки ИсОД могут входить следующие типовые компоненты ИТС: сервер ЛВС, рабочая станция ЛВС, сервер приложений, клиент сервера приложений, сервер СУБД, клиент сервера СУБД, устройства коммутации, устройства маршрутизации, каналы передачи данных. 3.7.2 Требования законодательства и действующих НД ТЗИ по защите информации в системах обработки ИсОД Как и в любой другой ИТС, в системах обработки ИсОД должны быть удовлетворены требования законов Украины "О защите информации в ИТС", "Об информации". В системах обработки ИсОД, составляющей государственную тайну, должны быть удовлетворены требования НД ТЗИ 2.5-007-2007 "Требования к комплексу средств защиты информации, составляющей государственную тайну, от несанкционированного доступа при ее обработке в автоматизированных системах класса 1". В системах, в которых обрабатывается конфиденциальная информация, являющаяся собственностью государства, относящихся к автоматизированным системам (АС) класса 2, должны быть удовлетворены требования НД ТЗИ 2.5-008-2002 "Требования по защите конфиденциальной информации от несанкционированного доступа во время обработки в автоматизированных системах класса 2". Дальнейшая информация изложена с учетом требований НД ТЗИ 2.5-008-2002. НД ТЗИ 2.5-008-2002 определяет требования по защите конфиденциальной информации от несанкционированного доступа во время обработки в АС класса 2 и устанавливает минимально
229 необходимый перечень функциональных услуг безопасности и уровней их реализации в КСЗ информации таких АС. НД ТЗИ 2.5-008-2002 предназначен для субъектов отношений (собственников или распорядителей АС, пользователей), деятельность которых связанная с обработкой в АС конфиденциальной информации, разработчиков КСЗИ в АС, для поставщиков компонентов АС, а также для физических и юридических лиц, которые осуществляют оценку защищенности АС на соответствие требованиям ТЗИ. Требования этого НД ТЗИ являются обязательными для государственных органов, Вооруженных Сил, других воинских формирований, Министерства внутренних дел, Совета Министров Автономной республики Крым и органов местного самоуправления, а также предприятий, учреждений и организаций всех форм собственности, в АС которых обрабатывается конфиденциальная
информация,
которая
является
собственностью
государства.
Для
конфиденциальной информации, которая не является собственностью государства, требования данного нормативного документа субъекты хозяйственной деятельности могут использовать на собственное усмотрение. Общие требования к организации защиты ИсОД в АС класса 2 согласно НД ТЗИ 2.5-0082002: 1. Основы защиты конфиденциальной информации определяются Законами Украины "Об информации" и "О защите информации в ИТС", другими нормативно-правовыми актами, изданными в соответствии с этими законами, а также "Инструкцией о порядке учета, хранения и использования документов, дел, изданий и других материальных носителей информации, содержащих конфиденциальную информацию, являющуюся собственностью государства". 2. Внедрение мероприятий по защите информации в конкретной АС не должно существенно ухудшать
основных
ее
характеристик
касательно
производительности,
надежности,
совместимости, управляемости, расширяемости, масштабируемости и т.п. 3. Обработка в АС конфиденциальной информации осуществляется с использованием защищенной технологии, в которой соблюдены следующие общие требования: -
наличие перечня конфиденциальной информации, которая подлежит автоматизированной обработке; в случае необходимости возможная ее классификация по целевому назначению, степени
ограничения
доступа
отдельных
категорий
пользователей
и
другим
классификационным признакам; -
наличие определенного (созданного) ответственного подразделения, которому передаются полномочия по организации и внедрению технологии защиты информации, контроля за состоянием защищенности информации (служба защиты информации в АС);
230 -
создание КСЗИ, которая представляет собой совокупность организационных и инженернотехнических мероприятий, программно-аппаратных средств, направленных на обеспечение защиты информации во время функционирования АС;
-
разработка плана защиты информации в АС, содержание которого определено в приложении к НД ТЗИ 1.4-001;
-
наличие аттестата соответствия КСЗИ в АС нормативным документам по защите информации;
-
возможность определения средствами КСЗИ нескольких иерархических уровней полномочий пользователей и нескольких классификационных уровней информации;
-
обязательность регистрации в АС всех пользователей и их действий по отношению к конфиденциальной информации;
-
возможность предоставления пользователям только при условии служебной необходимости санкционированного и контролируемого доступа к конфиденциальной информации, которая обрабатывается в АС;
-
запрет
несанкционированной
и
неконтролируемой
модификации
конфиденциальной
информации в АС; -
осуществление службой защиты информации учета исходных данных, полученных во время решения функциональных задач в форме отпечатанных документов, которые содержат конфиденциальную информацию, в соответствии с "Инструкцией о порядке учета, сохранение и использование документов, дел, изданий и других материальных носителей информации, содержащих конфиденциальную информацию, являющуюся собственностью государства";
-
запрет
несанкционированного
копирования,
размножения,
распространения
конфиденциальной информации в электронном виде; -
обеспечение службой защиты информации контроля за санкционированным копированием, размножением, распространением конфиденциальной информации в электронном виде;
-
возможность осуществления однозначной идентификации и аутентификации каждого зарегистрированного пользователя;
-
обеспечение КСЗИ возможности своевременного доступа зарегистрированных пользователей АС к конфиденциальной информации.
231 3.7.3 Угрозы информации, характерные для систем обработки ИсОД. Модель потенциального нарушителя в системах обработки ИсОД 3.7.3.1 Анализ системы обработки ИсОД как объекта защиты и определение защищаемых информационных ресурсов Согласно НД ТЗИ 2.5-008-2002, основными информационными ресурсами, подлежащими защите в системе обработки ИсОД (информационными активами), являются: -
информационные объекты, содержащие требующую защиты открытую информацию и представляющие собой совокупность сильносвязанных объектов (под сильносвязанными объектами понимается совокупность наборов данных, которые характеризуются наличием минимальной избыточности и допускают их оптимальное использование одним или несколькими процессами как одновременно, так и в разные промежутки времени и требуют безусловного обеспечения целостности этих наборов данных как совокупности, например, совокупность связанных таблиц БД);
-
информационные объекты, содержащие требующую защиты открытую информацию и представляющие
собой
слабосвязанные
объекты
различного
вида
представления
(относительно независимые наборы данных, которые генерируются, модифицируются, сохраняются и обрабатываются в системе и требуют обеспечения своей целостности каждый в отдельности); -
информационные объекты, содержащие ИсОД и представляющие собой совокупность сильносвязанных объектов;
-
информационные объекты, содержащие ИсОД и представляющие собой совокупность слабосвязанных объектов различного вида представления. Информационные объекты, содержащие ИсОД или требующую защиты открытую
информацию и представляющие собой совокупность сильносвязанных объектов, могут быть представлены в виде: -
структурированных записей при сохранении в БД (сервер СУБД);
-
структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-
информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС, РС - в процессе обработки). В штатном режиме функционирования системы к данным информационным объектам
возможен разделяемый доступ с целью просмотра/ модификации. Информационные объекты, содержащие ИсОД или требующую защиты открытую информацию и представляющие собой слабосвязанные объекты, могут быть представлены в виде: -
неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
232 -
неструктурированные файлы в процессе сохранения и обработки на РС клиента;
-
информационных объектов в оперативной памяти компьютеров (ФС, РС - в процессе обработки). В штатном режиме функционирования системы к данным информационным объектам
возможен разделяемый доступ с целью просмотра/ модификации. Особенности системы обработки ИсОД как объекта защиты (согласно НД ТЗИ 2.5-0082002)
определяются
особенностью
архитектуры
АС,
способами
применения
средств
вычислительной техники для выполнения функций сбора, хранения, обработки, передачи и использования данных, требованиями к обеспечению различных свойств информации. С учетом характеристик и особенностей представления обрабатываемой информации, особенностей процессов, которые применяются для ее обработки, а также порядка работы пользователей и требований к обеспечению защиты информации в АС класса 2 определяются такие технологии обработки информации: -
обработка без активного диалога со стороны пользователя слабосвязанных объектов, при которой
требуется
защита
конфиденциальности
обрабатываемой
информации,
или
конфиденциальности и целостности обрабатываемой информации. Обработка без активного диалога со стороны пользователя слабосвязанных объектов в общем случае представляет собою обработку отдельного набора данных (или определенного их множества, но последовательно
одного
за
другим)
в
фоновом
режиме,
который
обеспечивается
операционными системами, используемыми на рабочих станциях и серверах АС; -
обработка без активного диалога со стороны пользователя сильносвязанных объектов, при которой требуется защита конфиденциальности и целостности обрабатываемой информации. Обработка без активного диалога со стороны пользователя сильносвязанных объектов представляет собой решение в фоновом режиме комплексов функциональных задач, которые взаимодействуют с базами данных с использованием СУБД, а также реализацию любых других процессов, которые осуществляют одновременную обработку определенного множества наборов данных, имеющих между собою логические связи;
-
обработка в активном диалоговом режиме со стороны пользователя слабосвязанных объектов, при которой требуется защита конфиденциальности и доступности обрабатываемой информации,
или
конфиденциальности
и
целостности
обрабатываемой
информации.
Обработка в активном диалоговом режиме со стороны пользователя слабосвязанных объектов представляет собой обработку отдельного набора данных в режиме реального времени в диалоге между пользователем и прикладным процессом, который эту обработку осуществляет (например, создание и редактирование текстов, и потому подобное);
233 -
обработка в активном диалоговом режиме со стороны пользователя сильносвязанных объектов, при которой требуется защита конфиденциальности, целостности и доступности обрабатываемой информации. Обработка в активном диалоговом режиме со стороны пользователя сильносвязанных объектов представляет собой процессы реализации в режиме реального времени взаимодействия между пользователем и БД с сильносвязанными объектами с использованием СУБД. Определенные выше технологии обработки информации могут быть реализованы как в
системе в целом, так и в отдельных ее компонентах или процессах. Одновременно в системе могут применяться несколько технологий. Наиболее значимыми (с точки зрения наносимого информационным активам ущерба) в системе обработки ИсОД (согласно НД ТЗИ 2.5-008-2002) являются угрозы с целью нарушения: -
конфиденциальности по отношению к информационным объектам, содержащим ИсОД, представленным в виде слабосвязанных объектов или совокупности сильносвязанных объектов, путем несанкционированного ознакомления;
-
целостности по отношению к информационным объектам, содержащим как ИсОД, так и требующую защиты открытую информацию, представленным в виде слабосвязанных объектов или совокупности сильносвязанных объектов, путем несанкционированной модификации;
-
доступности разделяемых ресурсов сервера приложений (реализующего бизнес-логику), ФС, сервера
СУБД
(реализующего
функции
управления
хранилищем
базы
данных
сильносвязанных объектов) при доступе пользователей к информационным объектам, представленным в виде слабосвязанных объектов или совокупности сильносвязанных объектов, содержащим как ИсОД, так и открытую информацию. 3.7.3.2 Модель потенциального нарушителя в системе обработки ИсОД (АС класса 2) В качестве потенциального нарушителя в системе обработки ИсОД (согласно НД ТЗИ 2.5008-2002) должен рассматриваться любой сотрудник организации, использующей систему обработки ИсОД, который: -
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в системе с использованием разделяемых ресурсов ФС информационным объектам, содержащим ИсОД, представленным в виде слабосвязанных объектов (с целью их просмотра, модификации, удаления);
-
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в системе с использованием разделяемых ресурсов (ФС, сервер приложений, сервер СУБД) информационным объектам, содержащим ИсОД,
234 представленным в виде совокупности сильносвязанных объектов (с целью их просмотра, модификации, удаления); -
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в системе с использованием разделяемых ресурсов ФС информационным объектам, содержащим требующую защиты открытую информацию, представленным в виде слабосвязанных объектов (с целью их модификации, удаления);
-
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым в системе с использованием разделяемых ресурсов (ФС, сервер приложений, сервер СУБД) информационным объектам, содержащим требующую защиты открытую информацию, представленным в виде совокупности сильносвязанных объектов (с целью их модификации, удаления);
-
может осуществить несанкционированный доступ (с использованием штатных и нештатных средств) к обрабатываемым и сохраняемым на РС пользователя информационным объектам, содержащим ИсОД, представленным в виде слабосвязанных объектов (с целью их просмотра, модификации, удаления);
-
с использованием штатных и нештатных средств может влиять на работоспособность разделяемых ресурсов системы (ФС, серверов СУБД, серверов приложений) и активного сетевого оборудования (устройств коммутации пакетов);
-
обладает всеми возможностями пользователя системы по вводу и обработке ИсОД и требующей защиты открытой информации. Таким образом, потенциальный нарушитель имеет возможность реализации всех типов
угроз (конфиденциальности, целостности и доступности) с использованием штатных средств системы обработки ИсОД, штатных и нештатных средств ОС используемых ФС, штатных и нештатных средств серверов СУБД, штатных и нештатных средств серверов приложений, штатных и нештатных средств управления активным сетевым оборудованием. 3.7.4 Особенности построения систем защиты информации в системах обработки ИсОД 3.7.4.1 Функциональные спецификации КСЗ СЗИ в системах обработки ИсОД для различных технологий обработки информации Функциональная спецификация КСЗ СЗИ в системе обработки ИсОД при использовании технологии, выдвигающей повышенные требования к обеспечению конфиденциальности обрабатываемой информации: КД-2 – базовая доверительная конфиденциальность
235 КА-2 – базовая административная конфиденциальность КО-1 – повторное использование объектов НР-2 – защищенный журнал НИ-2 – одиночная идентификация и аутентификация НК-1 – однонаправленный достоверный канал НО-2 – разграничение обязанностей администратора НЦ-2 – КСЗ с гарантированной целостностью НТ-2 – самотестирование при старте Функциональная спецификация КСЗ СЗИ в системе обработки ИсОД при использовании технологии, выдвигающей повышенные требования к обеспечению конфиденциальности и целостности обрабатываемой информации: КД-2 – базовая доверительная конфиденциальность КА-2 – базовая административная конфиденциальность КО-1 – повторное использование объектов ЦД-1 – минимальная доверительная целостность ЦА-2 - базовая административная целостность ЦО-1 – ограниченный откат НР-2 – защищенный журнал НИ-2 – одиночная идентификация и аутентификация НК-1 – однонаправленный достоверный канал НО-2 – разграничение обязанностей администратора НЦ-2 – КСЗ с гарантированной целостностью НТ-2 – самотестирование при старте Функциональная спецификация КСЗ СЗИ в системе обработки ИсОД при использовании технологии, выдвигающей повышенные требования к обеспечению конфиденциальности и доступности обрабатываемой информации КД-2 – базовая доверительная конфиденциальность КА-2 – базовая административная конфиденциальность КО-1 – повторное использование объектов ДР-1 - квоты ДС-1 – устойчивость при ограниченных отказах ДЗ-1 - модернизация ДВ-1 – ручное восстановление
236 НР-2 – защищенный журнал НИ-2 – одиночная идентификация и аутентификация НК-1 – однонаправленный достоверный канал НО-2 – разграничение обязанностей администратора НЦ-2 – КСЗ с гарантированной целостностью НТ-2 – самотестирование при старте Функциональная спецификация КСЗ СЗИ в системе обработки ИсОД при использовании технологии, выдвигающей повышенные требования к обеспечению конфиденциальности, целостности и доступности обрабатываемой информации КД-2 – базовая доверительная конфиденциальность КА-2 – базовая административная конфиденциальность КО-1 – повторное использование объектов ЦД-1 – минимальная доверительная целостность ЦА-2 - базовая административная целостность ЦО-1 – ограниченный откат ДР-1 - квоты ДС-1 – устойчивость при ограниченных отказах ДЗ-1 - модернизация ДВ-1 – ручное восстановление НР-2 – защищенный журнал НИ-2 – одиночная идентификация и аутентификация НК-1 – однонаправленный достоверный канал НО-2 – разграничение обязанностей администратора НЦ-2 – КСЗ с гарантированной целостностью НТ-2 – самотестирование при старте
3.7.4.2 Политика функциональных услуг безопасности и используемые механизмы защиты КД-2 – базовая доверительная конфиденциальность Должна быть реализована при необходимости в качестве дополнения к услуге КА-2 при условии наличия в АС групп пользователей с одинаковыми полномочиями доступа к ИсОД внутри этих групп. Политика данной услуги должна быть реализована относительно:
237 -
информационных объектов, содержащих ИсОД и представляющих собой слабосвязанные объекты в виде:
-
-
неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
-
неструктурированных файлов в процессе сохранения и обработки на РС клиента;
информационных объектов, содержащих ИсОД и представляющих собой совокупность сильносвязанных объектов в виде: -
структурированных записей при сохранении в БД (сервер СУБД);
-
структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-
информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки). Политика
услуги
должна
обеспечивать
предотвращение
реализации
угроз
конфиденциальности путем несанкционированного доступа к файлам данных и записям БД (предотвращая возможность их несанкционированного чтения). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверах СУБД;
-
серверах приложений. Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе списков управления доступом или меток доступа).
КА-2 – базовая административная конфиденциальность Политика данной услуги должна быть реализована относительно: -
информационных объектов, содержащих ИсОД и представляющих собой слабосвязанные объекты в виде:
-
-
неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
-
неструктурированных файлов в процессе сохранения и обработки на РС клиента;
информационных объектов, содержащих ИсОД и представляющих собой совокупность сильносвязанных объектов в виде: -
структурированных записей при сохранении в БД (сервер СУБД);
-
структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-
информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки);
-
программных средств системы в виде файлов.
238 Политика
услуги
должна
обеспечивать
предотвращение
реализации
угроз
конфиденциальности путем несанкционированного доступа к файлам данных и записям БД (предотвращая возможность их несанкционированного чтения), а также к файлам программных средств (предотвращая возможность их несанкционированного запуска). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверах СУБД;
-
серверах приложений. Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе списков управления доступом).
КО-1 – повторное использование объектов Политика данной услуги должна быть реализована относительно: -
информационных объектов, содержащих ИсОД и представляющих собой слабосвязанные объекты в виде:
-
-
неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
-
неструктурированных файлов в процессе сохранения и обработки на РС клиента;
информационных объектов, содержащих ИсОД и представляющих собой совокупность сильносвязанных объектов в виде: -
структурированных записей при сохранении в БД (сервер СУБД);
-
структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-
информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки). Политика
услуги
должна
обеспечивать
предотвращение
реализации
угроз
конфиденциальности путем выполнения операций "Сбора мусора". Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверах СУБД;
-
серверах приложений. Для реализации услуги должны использоваться такие механизмы:
-
очистка дисковой и оперативной памяти после удаления информационных объектов/ перед предоставлением памяти под размещение других объектов;
-
удаление атрибутов доступа (списков управления доступом) при удалении объекта.
239
ЦД-1 – минимальная доверительная целостность Должна быть реализована при необходимости в качестве дополнения к услуге ЦА-2 при условии наличия в АС групп пользователей с одинаковыми полномочиями доступа к защищаемой информации внутри этих групп. Политика данной услуги должна быть реализована относительно: -
информационных
объектов,
содержащих ИсОД
или
требующую
защиты
открытую
информацию и представляющих собой слабосвязанные объекты в виде:
-
-
неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
-
неструктурированных файлов в процессе сохранения и обработки на РС клиента;
информационных
объектов,
содержащих ИсОД
или
требующую
защиты
открытую
информацию и представляющих собой совокупность сильносвязанных объектов в виде: -
структурированных записей при сохранении в БД (сервер СУБД);
-
структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-
информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки). Политика услуги должна обеспечивать предотвращение реализации угроз целостности
путем несанкционированного доступа к файлам данных и записям БД (предотвращая возможность их несанкционированного создания, модификации или удаления). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверах СУБД;
-
серверах приложений. Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе списков управления доступом или меток доступа).
ЦА-2 – базовая административная целостность Политика данной услуги должна быть реализована относительно: -
информационных
объектов,
содержащих ИсОД
или
требующую
защиты
информацию и представляющих собой слабосвязанные объекты в виде: -
неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
-
неструктурированных файлов в процессе сохранения и обработки на РС клиента;
открытую
240 -
информационных объектов, содержащих ИсОД или требующую защиты открытую информацию и представляющих собой совокупность сильносвязанных объектов в виде: -
структурированных записей при сохранении в БД (сервер СУБД);
-
структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-
информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки);
-
программных средств системы в виде файлов. Политика услуги должна обеспечивать предотвращение реализации угроз целостности
путем несанкционированного доступа к файлам данных и записям БД, а также к файлам программных
средств
(предотвращая
возможность
их
несанкционированного
создания,
модификации или удаления). Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверах СУБД;
-
серверах приложений. Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе списков управления доступом). ЦО-1 – ограниченный откат Политика данной услуги должна быть реализована относительно: -
информационных
объектов,
содержащих ИсОД
или
требующую
защиты
открытую
информацию и представляющих собой слабосвязанные объекты в виде:
-
-
неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
-
неструктурированных файлов в процессе сохранения и обработки на РС клиента;
информационных
объектов,
содержащих ИсОД
или
требующую
защиты
открытую
информацию и представляющих собой совокупность сильносвязанных объектов в виде: -
структурированных записей при сохранении в БД (сервер СУБД);
-
структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-
информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки). Политика данной услуги должна обеспечивать предотвращение угроз нарушения
целостности путем обеспечения возврата информационных объектов, целостность которых была нарушена, в предыдущее известное состояние. Средства реализации услуги должны функционировать в таких компонентах ИТС:
241 -
ФС ЛВС;
-
РС ЛВС;
-
серверах СУБД;
-
серверах приложений. Для реализации услуги должны использоваться такие механизмы:
-
обеспечение целостности путем репликации данных;
-
обеспечение целостности путем повтора сообщений;
-
контроль целостности по ККЦ;
-
контроль целостности по контексту. ДР-1 – квоты Политика данной услуги должна быть реализована относительно объектов:
-
информационных
объектов,
содержащих ИсОД
или
требующую
защиты
открытую
информацию и представляющих собой слабосвязанные объекты в виде: -
неструктурированных файлов при сохранении на разделяемых ресурсах ФС;
информационных
объектов,
содержащих ИсОД
или
требующую
защиты
открытую
информацию и представляющих собой совокупность сильносвязанных объектов в виде: -
структурированных записей при сохранении в БД (сервер СУБД);
-
структурированных файлов при сохранении хранилищ СУБД на жестких дисках ФС;
-
информационных объектов в оперативной памяти компьютеров (сервер приложений, сервер СУБД, ФС - в процессе обработки). Политика услуги должна обеспечивать предотвращение реализации угроз доступности
путем захвата чрезмерного объема ресурсов ФС ЛВС, серверов СУБД и серверов приложений. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС (по отношению к выделяемому дисковому пространству);
-
серверах СУБД (по отношению к выделяемому объему таблиц БД);
-
серверах приложений (по отношению к выделяемым объемам вычислительных ресурсовпроцессорному времени, оперативной памяти). Для реализации услуги должны использоваться такие механизмы:
-
управление доступом (на основе списков управления доступом) с контролем установленных ограничений. ДС-1 – устойчивость при ограниченных отказах ДЗ-1 – модернизация ДВ-1 – ручное восстановление
242 Должны быть реализованы относительно всех компонентов ИТС, входящих в состав системы обработки ИсОД: -
ФС ЛВС;
-
РС ЛВС;
-
серверов СУБД;
-
серверов приложений;
-
клиентов серверов приложений;
-
средств коммутации пакетов. Политики услуг должны обеспечивать минимизацию последствий реализации угроз
доступности, приводящих с нарушению работоспособности компонентов ИТС. Для реализации услуги должны использоваться такие механизмы: -
реализация средств модернизации (обновления) программных средств системы;
-
резервирование программных средств и информации с возможностью ручного восстановления. НР-2 – защищенный журнал Должна быть реализована относительно всех защищенных объектов во всех видах
представления. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверах СУБД;
-
серверах приложений;
-
клиентах серверов приложений;
-
средствах коммутации пакетов сетевых протоколов. Политика услуги должна обеспечивать возможность аудита действий пользователей и
является необходимой для корректной реализации остальных услуг. Для реализации услуги должны использоваться такие механизмы: -
регистрация и аудит. НИ-2 – одиночная идентификация и аутентификация Политика данной услуги должна быть реализована относительно объектов:
-
пользователи ЛВС;
-
пользователи СУБД;
-
пользователи системы обработки ИсОД.
243 Политика услуги должна обеспечивать возможность идентификации и подтверждения подлинности (аутентификации) пользователей системы и является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверах СУБД;
-
серверах приложений;
-
клиентах серверов приложений. Для реализации услуги должны использоваться такие механизмы:
-
аутентификация одноуровневых объектов (на основе принципов "что-то знаю", "чем-то владею"). НК-1 – достоверный канал Политика данной услуги должна быть реализована относительно объектов:
-
пользователи ЛВС;
-
пользователи СУБД;
-
пользователи системы обработки ИсОД. Политика услуги должна обеспечивать возможность защиты канала взаимодействия между
пользователем и КСЗ в процессе аутентификации пользователя (от перехвата данных аутентификации с использованием программ типа "троянский конь") и является необходимой для корректной реализации услуги "Одиночная идентификация и аутентификация". Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверах СУБД;
-
серверах приложений;
-
клиентах серверов приложений. Для реализации услуги должны использоваться такие механизмы:
- организация канала непосредственного взаимодействия пользователя с КСЗ. НЦ-2 – КСЗ с гарантированной целостностью Политика данной услуги должна быть реализована относительно объектов: -
ПС ФС ЛВС; ПС РС ЛВС; ПС серверов СУБД; ПС серверов приложений; ПС клиентов серверов приложений; ПС средств коммутации пакетов сетевых протоколов.
244 Политика услуги должна предотвращать возможность нарушения целостности средств защиты и является необходимой для корректной реализации остальных услуг. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверах СУБД;
-
серверах приложений;
-
клиентах серверов приложений;
-
средствах коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
- контроль целостности по ККЦ, управление доступом. НТ-2 – самотестирование при старте Политика данной услуги должна быть реализована относительно объектов: -
ПС ФС ЛВС; ПС РС ЛВС; ПС серверов СУБД; ПС серверов приложений; ПС клиентов серверов приложений; ПС средств коммутации пакетов сетевых протоколов. Политика услуги должна обеспечивать возможность проверки работоспособности средств
защиты при старте КСЗ с оповещением уполномоченного пользователя и прекращением дальнейшего функционирования до восстановления работоспособности средств защиты. Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверах СУБД;
-
серверах приложений;
-
клиентах серверов приложений;
-
средствах коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
- контроль целостности по ККЦ. НО-2 – разграничение обязанностей администраторов Должна быть реализована относительно всех защищенных объектов во всех видах представления. Политика услуги должна обеспечивать возможность управления средствами защиты только уполномоченными пользователями с разграничением (с целью обеспечения взаимного контроля) их обязанностей и является необходимой для корректной реализации остальных услуг.
245 Средства реализации услуги должны функционировать в таких компонентах ИТС: -
ФС ЛВС;
-
РС ЛВС;
-
серверах СУБД;
-
серверах приложений;
-
клиентах серверов приложений;
-
средствах коммутации пакетов сетевых протоколов. Для реализации услуги должны использоваться такие механизмы:
- управление доступом (на основе ролей, полномочий). Должны выделяться, как минимум, три роли: -
администратор информационных ресурсов (управление АС);
-
администратор безопасности (управление КСЗ);
-
пользователь. Администраторы информационных ресурсов и администраторы КСЗ не должны получать
(по умолчанию) доступ к конфиденциальной информации. Особенности реализации отдельных функциональных услуг. 1. В случаях, когда в АС все пользователи допущены к обработке ИсОД, реализация услуги КО-1 не является обязательным. 2. Реализация услуг безопасности, базирующихся на доверительном принципе разграничения доступа (КД и ЦД), может осуществляться в случаях: -
если политикой безопасности предусмотрено создание групп пользователей с одинаковыми полномочиями относительно работы с ИсОД для разграничения доступа к объектам, содержащим такую информацию, в пределах этих групп;
-
для разграничения доступа к требующим защиты объектам, не содержащим ИсОД. Во всех других случаях разграничение доступа должно осуществляться в соответствии с
административным принципом (услуги безопасности КА и ЦА). 3. Уровень ЦА-2 услуги "административная целостность" должен реализовываться при обработке ИсОД, содержащейся в сильносвязанных объектах. Для обработки ИсОД, содержащейся в слабосвязанных объектах, должен реализовываться уровень услуги ЦА-1. 3.7.4.3 Структура и состав СЗИ системы обработки ИсОД В составе СЗИ можно выделить: -
подсистему управления;
-
подсистему разграничения доступа.
246 4 ОСНОВНЫЕ ПРИНЦИПЫ ОРГАНИЗАЦИИ ЭКСПЕРТИЗЫ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ В ИТС 4.1 Основные принципы Уверенность в защищенности информации в ИТС может быть достигнута в результате определенных действий, которые могут быть предприняты в процессе разработки, оценки и эксплуатации системы. Результатом оценки является заключение о степени доверия контрмерам по уменьшению рисков для защищаемых активов. Заключение о результатах оценки может быть использовано владельцем активов при принятии решения о приемлемости риска для активов, создаваемого угрозами. Основными исходными материалами для оценки СЗИ являются: а) совокупность требований, характеризующих СЗИ, включая функциональную спецификацию КСЗ СЗИ в качестве основы оценки; б) ИТС, защищенность информации в которой требуется оценить; в) критерии, методология и система оценки. Критерии оценки – совокупность требований (шкала оценки), используемая для оценки эффективности функциональных услуг безопасности и корректности их реализации. Методология оценки – определяет последовательность (алгоритм) действий, выполняемых экспертами при оценке эффективности функциональных услуг безопасности и корректности их реализации, а также форму представления результатов. Система оценки – административно-правовая структура, а рамках которой в определенном сообществе органы оценки применяют критерии оценки. Ожидаемым результатом оценки является подтверждение удовлетворения КСЗ СЗИ ИТС требований обеспечения защищенности, изложенных в соответствующей ПБ и функциональных спецификациях, а также один или несколько отчетов, документирующих выводы оценщика относительно КСЗ СЗИ, сделанные в соответствии с критериями оценки. В Украине в качестве критериев оценки используются критерии, установленные НД ТЗИ 2.5-004-99 "Критерии оценки компьютерных систем от несанкционированного доступа", а также требования НД ТЗИ, устанавливающих требования к обеспечению защиты информации в ИТС различного назначения. Система оценки в Украине функционирует на основе "Положения о государственной экспертизе в сфере технической защиты информации". Согласно данному Положению, Субъектами экспертизы являются:
247 -
юридические и физические лица, которые являются заказчиками экспертизы (далее – Заказчики);
-
Администрация государственной службы специальной связи и защиты информации Украины (далее – Администрация), а также предприятия, учреждения и организации, которые проводят экспертизу по его поручению (далее – Организаторы);
-
физические лица – исполнители экспертных работ по технической
защите
информации
(далее – Эксперты). Объектами экспертизы являются: -
КСЗИ,
которые
являются
неотъемлемой
составной
частью
информационной,
телекоммуникационной или информационно-телекоммуникационной системы; -
технические и программные средства, которые реализуют функции технической защиты информации (средства ТЗИ). Администрация для организации и проведения экспертизы:
-
разрабатывает необходимые нормативно-правовые акты и нормативные документы, которые обеспечивают проведение экспертизы, информирует Организаторов и Экспертов о вводе их в действие;
-
формирует реестры Организаторов и Экспертов;
-
регистрирует заявки на проведение экспертизы, предоставляет Заказчикам и Организаторам консультации по вопросам порядка и организации проведения экспертизы, оформления документов по результатам проведения экспертизы;
-
принимает решение относительно возможности и целесообразности проведения и организации экспертизы, в т.ч. контрольной;
-
в случае экспертизы средства ТЗИ принимает решение относительно необходимости разработки порядка отбора образцов для проведения испытаний;
-
регистрирует, выдает, приостанавливает действие или аннулирует экспертные заключения о возможности использования средств ТЗИ (далее – Экспертные заключения) и аттестаты соответствия КСЗИ требованиям нормативных документов по ТЗИ (далее - Аттестаты);
-
осуществляет контроль за проведение Организатором экспертных испытаний
и за
соблюдением требований эксплуатации объекта экспертизы, которые влияют на защищенность информации. Заказчик экспертизы имеет право: -
использовать без ограничений выводы, результаты и материалы экспертизы в своей деятельности, если иное не предусмотрено договором на проведение экспертизы;
-
заявлять о необходимости проведения контрольной или дополнительной экспертизы;
-
принимать, по согласованию с Организатором, участие в проведении экспертных работ;
248 -
обращаться в Администрацию по вопросам проведения Организатором экспертных испытаний. Заказчик экспертизы обязан:
-
содействовать Организатору в проведении всестороннего комплексного исследования объекта экспертизы для формирования экспертной оценки;
-
передавать Организатору в установленные договором сроки необходимые материалы, расчеты, данные, дополнительные сведения, которые касаются объекта экспертизы, и предоставлять необходимое для проведения экспертизы оборудование. Организатор экспертизы имеет право:
-
осуществлять все необходимые мероприятия с целью организации и проведения экспертизы согласно положений договора с Заказчиком;
-
готовить предложения относительно включения (исключения) специалистов по вопросам ТЗИ в (из) реестра Экспертов;
-
подавать предложения относительно разработки и разрабатывать проекты нормативных документов по вопросам проведения экспертизы. Организатор экспертизы обязан:
-
обеспечивать непредубежденное, объективное и своевременное проведение экспертизы;
-
проводить мероприятия для обеспечения контроля со стороны Администрации за проведением экспертных испытаний;
-
рассматривать по поручению Администрации проекты нормативных документов по выполнению экспертных работ и предоставлять содержательные, обоснованные предложения и замечания;
-
выполнять требования по конфиденциальности проведения экспертизы. Эксперт имеет право:
-
свободно излагать личное мнение по вопросам экспертизы, а также относительно результатов выполнения работ;
-
требовать от Организатора предоставления достоверных сведений, материалов, инженернотехнического обеспечения, необходимых для выполнения экспертных работ и подготовки выводов;
-
вносить предложения относительно усовершенствования форм и методов проведения экспертизы. Эксперт обязан:
-
объективно, беспристрастно и своевременно выполнять экспертные работы;
-
не допускать разглашения информации, которая содержится в материалах и выводах экспертизы;
249 -
предъявлять по требованию Заказчика документы, которые подтверждают его опыт и уровень квалификации. 4.2 Порядок организации и проведения экспертизы Для проведения экспертизы заказчик подает на имя Председателя (заместителя
Председателя) Госспецсвязи заявление о проведении экспертизы КСЗИ в ИТС или средства ТЗИ. С целью рассмотрения заявлений, координации мероприятий и принятия решений относительно проведения экспертиз В Администрации создается Экспертный совет по вопросам государственной экспертизы в сфере технической защиты информации (далее – Экспертный совет), деятельность которого определяется соответствующим положением об этом органе. По результатам рассмотрения заявления Экспертный совет в месячный срок принимает решение о целесообразности проведения экспертизы и определяет ее Организатора. Основным юридическим документом, который регламентирует отношения между Заказчиком и Организатором, является заключенный ими договор на проведение экспертизы. Состав Экспертов, которые привлекаются к выполнению экспертных работ, определяется Организатором. Заказчик
предоставляет
Организатору
комплект
организационно-технической
документации на объект экспертизы, необходимый для проведения экспертных испытаний. Организатор, по результатам анализа предоставленных документов и с учетом общих методик оценивания задекларированных характеристик средств ТЗИ и КСЗИ, формирует программу и отдельные методики проведения экспертизы объекта и разрабатывает, в случае необходимости, порядок отбора образцов средств ТЗИ для проведения экспертизы и соответствующее программно-техническое обеспечение. Программа проведения экспертизы согласуется с Заказчиком и Департаментом по вопросам защиты информации в информационно-телекоммуникационных системах Администрации, а отдельные методики – с указанным Департаментом. Во время проведения экспертизы каждый Эксперт выполняет экспертные работы только по поручению Организатора и в соответствии с определенной отдельной методикой. Результаты работ оформляются в виде протокола проведения работ за подписью Экспертов, которые их выполняли. Протокол утверждается Организатором. Организатор может рекомендовать Эксперту осуществить редактирование протоколов выполненных работ без изменения их содержания (стилистическое редактирование). Согласование результатов отдельных работ между Экспертом и Организатором, а также внесение изменений в протоколы после их оформления или объединения результатов отдельных работ в одном протоколе не разрешается.
250 В протоколе могут быть зафиксированы особые мнения Экспертов относительно результатов выполненных работ. По результатам проведенных работ Организатор составляет Экспертное заключение соответствующего содержания относительно соответствия объекта экспертизы требованиям нормативных документов по ТЗИ, подписывает его и подает в Администрацию. Экспертное заключение на средство ТЗИ, рассматривается Экспертным советом и в случае утверждения результатов экспертизы регистрируется и выдается заказчику. На основании положительного решения относительно экспертизы КСЗИ Заказчику выдается зарегистрированный Аттестат соответствия за подписью Председателя (заместителя председателя) Госспецсвязи. Администрация имеет право приостановить или аннулировать действие Экспертного заключения или Аттестата. 4.3 Особенности оценки уровней функциональных услуг безопасности и уровня гарантий реализации функциональных услуг безопасности Методология оценки, согласно требованиям Положения, а также требований и рекомендаций НД ТЗИ 2.7-009-09 "Методические указания по оцениванию функциональных услуг безопасности в средствах защиты информации от несанкционированного доступа" и НД ТЗИ 2.7.010-09 "Методические указания по оцениванию уровня гарантий корректности реализации функциональных услуг безопасности в средствах защиты информации от несанкционированного доступа" предполагает разработку программы и методики проведения экспертизы. Программа проведения экспертизы включает: -
программы оценки уровней функциональных услуг безопасности;
-
программу оценки уровня гарантий корректности реализации функциональных услуг безопасности. Программа оценки уровня функциональной услуги безопасности включает перечень
требований к политике функциональной услуги безопасности, реализующим услугу механизмам защиты и правилам их функционирования, которые должны быть проверены в процессе проведения экспертизы. Программа оценки уровня функциональной услуги безопасности формируется с учетом требований Критериев, НД ТЗИ 2.7-009-09, других НД ТЗИ, технического задания или иного документа, в котором сформулирована функциональная спецификация средства ТЗИ или КСЗ КСЗИ и политика реализации функциональных услуг безопасности. Программа оценки уровня гарантий включает перечень требований к уровню гарантий корректности реализации функциональных услуг безопасности (архитектуре КСЗ, процессу разработки,
системе
управления
конфигурацией,
последовательности
разработки,
среде
251 функционирования и документации), которые должны быть проверены в процессе проведения экспертизы. Программа оценки уровня гарантий формируется с учетом требований Критериев, НД ТЗИ 2.7-010-09, других НД ТЗИ, технического задания или иного документа, в котором установлен уровень гарантий для средства ТЗИ или КСЗ КСЗИ, перечня предоставленных Заказчиком документов и их содержания. Методики проведения экспертизы включают: -
методики оценки уровней функциональных услуг безопасности;
-
методику оценки уровня гарантий корректности реализации функциональных услуг безопасности. Методика оценки уровня функциональной услуги безопасности включает методику и
методы выполнения проверок требований к политике функциональной услуги безопасности, реализующим услугу механизмам защиты и правилам их функционирования, которые должны быть проверены в соответствии с программой оценки уровня функциональной услуги безопасности. Методика оценки уровня функциональной услуги безопасности формируется с учетом требований Критериев, НД ТЗИ 2.7-009-09, других НД ТЗИ, технического задания или иного документа, в котором сформулирована функциональная спецификация средства ТЗИ или КСЗ КСЗИ и политика реализации функциональных услуг безопасности, технического проекта или иного документа, в котором описан порядок реализации функциональных услуг безопасности и реализующих их механизмов защиты, требований отечественных и международных стандартов и других нормативных документов, определяющих правила функционирования различных механизмов защиты. Обычно реализуется путем проведения различных проверок в процессе проведения испытаний средства ТЗИ или КСЗ КСЗИ. Методика оценки уровня гарантий реализации функциональных услуг безопасности формируется с учетом Критериев, НД ТЗИ 2.7-010-09, других НД ТЗИ, и включает методику и методы выполнения проверок требований к уровню гарантий корректности реализации функциональных услуг безопасности, которые должны быть проверены в соответствии с программой оценки уровня гарантий реализации функциональных услуг безопасности. Обычно реализуется путем анализа проектной и эксплуатационной документации, анализа процессов организации разработки и производства средства ТЗИ (КСЗ КСЗИ), анализа результатов проведенных приемо-сдаточных и экспертных испытаний.. 4.4 Особенности экспертизы КСЗИ В процессе выполнения экспертизы КСЗИ, кроме оценки уровня функциональных услуг безопасности, реализованных КСЗ КСЗИ, а также оценки уровня гарантий реализации функциональных услуг безопасности, выполняют также оценку соответствия набора и содержания
252 нормативных и руководящих документов, регламентирующих порядок функционирования КСЗИ, требованиям НД ТЗИ.