Аннотация
Настоящий документ определяет рекомендации по формированию требований обеспечения информационной безопасности в информационных системах и ресурсах органах исполнительной власти города Москвы, государственных органах и учреждениях города Москвы (далее ИСиР). Положения Методических рекомендаций распространяются на все информационно-телекоммуникационные системы государственных органов и организаций города Москвы и предназначены для должностных лиц государственных органов и учреждений города Москвы, участвующих в создании, модернизации и эксплуатации информационных систем и ресурсов.
Содержание
Введение. 5
1.Требования к видам обеспечения информационной безопасности ИСиР. 9
1.1. Правовое, нормативное, методическое обеспечения ИБ. 9
1.2. Техническое обеспечение ИБ. 14
1.3. Организационное обеспечение ИБ. 22
2. Рекомендации по определению объекта защиты и категории защищаемой информации. 30
3. Рекомендации по описанию процесса обеспечения ИБ ИСиР. 33
3.1. Порядок формирования модели обеспечения ИБ. 33
3.2. Модели угроз 36
3.3. Оценка применимости моделей угроз в задачах обеспечения ИБ ИСиР. 43
3.4. Модель защиты.. 47
3.5. Показатели информационной безопасности. 54
3.6. Применение критериев оценки риска в модели обеспечения ИБ. 59
4. Рекомендации по определению уровня ИБ.. 63
4.1. Программирование уровня ИБ. 63
4.2. Способ определения и оценки класса защищенности объекта защиты от НСД по модели обеспечения ИБ. 65
4.3. Определение уровня информационной безопасности АС с использованием общих и частных показателей ИБ. 68
5. Рекомендации по заданию требований по уровню ИБ.. 74
6. Рекомендации по способам формирования и контроля уровня защиты ИСиР 76
6.1. Рекомендации по формированию состава мер обеспечения ИБ. 76
6.2. Способ проверки организации защиты информационных ресурсов ИСиР на основе требований нормативного обеспечения ИБ. 86
Приложения. 94
П1.1. Свод задач государственной политики обеспечения информационной безопасности города Москва. 94
П1.2. Задачи обеспечения информационной безопасности организации – владельца ИСиР. 99
П.2. Документы правового нормативного обеспечения информационной безопасности. 101
П.3.1.Общий классификатор угроз безопасности информационно-коммуникационных технологий. 106
П3.2. Типовые угрозы информационной безопасности АС.. 112
П4. Требования информационной безопасности. 125
Источники. 154
Оглавление
Введение
Общие цели, задачи и основные направления обеспечения информационной безопасности – защиты информации, как важной составной части информационной сферы общественных отношений России, определены в документах государственного строительства. Указами Президента РФ введены в действие Концепция национальной безопасности Российской Федерации /1/ и Доктрина информационной безопасности Российской Федерации /2/. В Центральной федеральном округе РФ действует Концепция защиты информации /3/.
Основы государственной политики города Москвы по обеспечению информационной безопасности (ИБ) открытых и конфиденциальных информационных ресурсов города, учитывающие и дополняющие положения нормативно-правовой база РФ, определены Концепцией информационной безопасности в органах исполнительной власти города Москвы /4/.
Задачи правового, нормативного, научно-методического, технического и организационного обеспечения ИБ на доктринальном уровне определены как с точки зрения национальной безопасности, национальных интересов в информационной сфере так и, в прямой постановке, в выше указанных нормативно-правовых документах, государственных и международных нормативно-технических документах /5-14/.
Анализ поставленных задач обеспечения ИБ (приложение 1) выявляет их взаимосвязи, обусловленные политическими, экономическими, социальными корнями личных, общественных интересов и отраженные в требованиях по реализации принципа открытости общества в деятельности государственных органов, по соблюдению служебной тайны и др. Кроме того, постоянное совершенствование новых информационных технологий, хроническое запаздывание практики нормативно-правового обеспечения ИБ по сравнению с техническим выдвигает новые и новые проблемы обеспечения защиты информации. Причем упредить условия их порождающие на современном мировом и государственном уровнях развития информатики как правило не удается /15-17 и др./.
Указанные обстоятельства обуславливают главенство государственной политики при формировании видов обеспечения безопасности, в частности необходимость разработки научно-методических подходов по формированию требований обеспечения ИБ города Москвы, представленных настоящим документом.
На основе рассмотренных положений госполитики в области информационной безопасности должны формироваться общие требования по видам обеспечения ИБ: правового; нормативного; научно-методического; технического и организационного (формулируются в 1 разделе Методических рекомендаций), задающих руководства для решения поставленных задач обеспечения ИБ в городе Москве, методологию определения соответствующих подходов и рекомендации для определения, контроля требований и выполненных мероприятий по обеспечению ИБ (рассматриваются во 2-6 разделах).
Решение задач обеспечения ИБ связано с необходимостью учёта неопределённостей в описании возможных информационных воздействий на объекты защиты при определяющей роли человеческого фактора, что в свою очередь обуславливает необходимость формализации процессов обеспечения ИБ в целом и, в частности, выделения задач обеспечения ИБ, характеризуемых своими особенностями формирования требований.
Практика обеспечения ИБ информационных систем и ресурсов города Москвы (ИСиР) прежде всего, требует идентифицировать объекты защиты и категории защищаемой информации, принятые документом /18/. Установить и описать все угрозы безопасности, исходя из которых с учетом характеристик ИСиР определить необходимый уровень информационной безопасности ИСиР, характеризующийся определенной совокупностью требований ИБ и реализовать соответствующие этим требованиям методы и механизмы защиты. Планирование и документирование работ по результатам уже решенных задач задают направления разработки и реализации мероприятий по защите объектов. Поэтапное выполнение планов реализации мероприятий должно включать оценки и контроль достигнутого уровня ИБ.
В связи с изложенным, конкретные шаги по формированию и достижению необходимого уровня информационной безопасности ИСиР должны включать:
— определение объекта защиты (ИСиР) и категории защищаемой информации;
— описание процесса (моделирование) обеспечения ИБ ИСиР;
— программирование необходимого уровня ИБ;
— задание требуемого уровня ИБ;
— определение мероприятий по защите ИСиР заданного уровня;
— оценка и контроль уровня ИБ.
Требования к обеспечению ИБ, в виде рекомендаций, должны регулировать выполнение работ по формированию и достижению необходимого уровня информационной безопасности ИСиР.
Уровень ИБ определяется как мера соответствия текущего состояния ИСиР (модели, макета, опытного образца и т.п.) заданиям по всем видам обеспечения информационной безопасности, формулируемым как совокупность требований ИБ. Мера соответствия может определяться качественно и количественно в виде показателей соответствия.
В зависимости от целей уровень ИБ может быть требуемым и текущим. Требуемый уровень задается на начальном этапе создания ИСиР и может уточняться в зависимости от установленных критериев его достижения в процессе разработки и эксплуатации объекта защиты. В соответствии с положением /18/ для ИСиР в зависимости от категории информационных ресурсов (открытых и конфиденциальных) установлено два базовых уровня ИБ.
Требования ИБ задаются численно или в виде совокупности сформулированных требований. Базовый уровень ИБ представляет собой минимально необходимую совокупность требований.
По завершении очередного этапа создания, модернизации, установленного календарного периода (не менее года) эксплуатации должен определяться текущий уровень ИБ ИСиР в целях контроля его соответствия требуемому уровню. Определение и оценка уровня ИБ, адекватности создаваемых или готовых решений защиты задаваемым требованиям к уровню информационной безопасности ИСиР должны выполняться специалистами прошедшими квалификационный отбор. Специалисты, разрабатывающие и реализующие планы мероприятий обеспечения ИБ, выполняющие работы по заданию и оценке уровня ИБ должны иметь государственный диплом специалиста в области информационной безопасности, знать множество методов, механизмов и средств защиты, владеть способами их декомпозиции и классификации в целях определения защитных свойств ИСиР, выбора взаимодополняющего комплекса универсальных и уникальных методов, пригодных для парирования широкого спектра угроз и т.п.
1.Требования к видам обеспечения информационной безопасности ИСиР
1.1. Правовое, нормативное, методическое обеспечения ИБ
Все виды обеспечения ИБ города Москвы, исходя из ранее рассмотренных во Введении задач, должны быть сформированы на основе документов, официально изданных органами власти России и города Москвы, а также уполномоченными ими органами управления (ведомствами) и компетентными международными организациями.
Агрегирование официальных полномочий органов власти позволяет выделить следующие уровни организации и управления в области информационной безопасности.
1. Макроуровень – Российская Федерация, ее компетентные госведомства и международные организации.
2. Метауровень – город Москва и компетентные ведомства Правительства Москвы.
3. Микроуровень – предприятие, организация – владелец информационных систем и ресурсов города, ее подразделения и специалисты в области обеспечения ИБ.
Причем обеспечение ИБ нижележащего уровня иерархии базируется на всех документах вышележащих уровней.
Документальное оформление правового, нормативного и методического обеспечений ИБ должно быть обязательным для руководства при решении задач технического обеспечения ИБ города Москвы и выделено в следующие группы документов: правовые, организационно-распорядительные, нормативно-технические и методические документы.
Документы правового нормативного обеспечения ИБ макроуровня представлены в приложении 2. Правовое обеспечение ИБ города Москвы закреплено в ряде законодательных актов и концепций безопасности.
Закон города Москвы от 24.10.2001 № 52 «Об информационных ресурсах и информатизации города Москвы» регулирует правовые отношения по формированию и использованию информационных ресурсов города Москвы и созданию, эксплуатации информационных систем, содержащих указанные ресурсы. В частности, Закон регулирует деятельность и полномочия органов исполнительный власти Москвы, организаций города в области обеспечения информационной безопасности.
Постановлением Правительства Москвы от 22.08.2000 № 654-ПП утверждена Концепция безопасности Москвы. В качестве самостоятельного раздела в рамках Концепции выделены информационные угрозы, включая предпосылки, усугубляющие их возникновение.
Официально принятая система взглядов Правительства Москвы на цели, задачи, основные принципы и направления деятельности в области информационной безопасности изложена в Концепции информационный безопасности в органах исполнительной власти города Москвы, утвержденной Мэром Москвы 07 сентября 2005 г. Реализация положений второй части Концепции – «Конфиденциальные и открытые информационные ресурсы» /4/ должна способствовать обеспечению прав собственников информационных систем и ресурсов, гармоничному развитию информационной инфраструктуры, движению к современному информационному обществу, закреплению прав и свобод горожан в условиях возможных внешних и внутренних угроз информационной безопасности.
Правовые документы государственной политики ИБ макроуровня, приведенные в приложении 2 и метауровня Правительства Москвы, описанные выше, составляют квалификационный минимум требований к правовому обеспечению ИБ ИСиР.
Структура и примерный состав требуемого правового нормативного обеспечения города Москвы представлены в табл.1.1.
Примерный состав документов правового нормативного обеспечения
информационной безопасности города Москвы
Таблица 1.1
— Состав нормативного обеспечения ИБ города Москвы должен включать следующие основные документы метауровня:
— Основные направления политики информационной безопасности Правительства Москвы до 2010 года.
— Положение о защите информации в ИСиР.
— Положение о реестре конфиденциальной информации, содержащейся в ИСиР.
— Положение о порядке организации и проведения работ по защите информации при ее автоматизированной обработке.
— Положение о порядке разработки систем защиты информации в автоматизированных системах города Москвы.
— Положение о порядке проведения эксплуатации систем защиты информации в автоматизированных системах города Москвы.
— Положение о порядке проведения контроля защищенности автоматизированных системах города Москвы.
— Положение об аттестации автоматизированных систем по требованиям безопасности информации города Москвы.
— Положение о порядке обеспечения катастрофоустойчивости автоматизированных систем органов исполнительной власти города Москвы.
Перечисленные нормативные документы Правительства Москвы в совокупности с нормативами макроуровня, приведенными в приложении 2, составляют, с учетом документов микроуровня, квалификационный минимум требований к нормативному обеспечению ИБ ИСиР.
Для обеспечения установленного режима информационной безопасности на микроуровне, организационно-распорядительные документы организации, составляющие ее политику информационной безопасности, должны включать:
— меры по организации защиты технологических процессов, применительно к специфике отраслей городского хозяйства;
— правила представления информации, ведения делопроизводства и документооборота;
— правила использования рабочего стола и персонального компьютера;
— меры по обеспечению безопасности речевой информации;
— меры по обеспечению информационной безопасности в ИСиР, включающие, в том числе:
— порядок оформления, категорирования, предоставления доступа к информационным ресурсам ИСиР;
— управление доступом к информационным системам, локальной и корпоративной сетям, приложениям и компьютерам;
— требования по использованию паролей;
— требования по защите оборудования, в том числе оборудования, оставляемого без присмотра;
— требования по обеспечению антивирусной защиты;
— требования к администрированию компьютерных систем и вычислительных сетей
— правила работы с носителями информации и их защиты;
— правила обмена данными и программами;
— правила проведения аудита (контроля) состояния информационной безопасности объектов информатизации;
— регламенты взаимодействия с компонентами комплексной системы информационной безопасности города Москвы (КСИБ): Системы Удостоверяющих центров, Центра мониторинга событий информационной безопасности города, Защищенного центра хранения и обработки данных и др.;
— меры по обеспечению физической безопасности оборудования и другие.
Перечисленные требования, нормы и правила должны быть описаны в нормативных документах микроуровня.
Методическое обеспечение ИБ должно предоставлять специалистам, ответственным за решение конкретных задач безопасности, рекомендации по вопросам лицензирован, сертификации, стандартизации, задания и контроля выполнения требований по ИБ, оценки эффективности систем и средств обеспечения информационной безопасности. По каждой из проблем обеспечения ИБ, требующей методической поддержки должен разрабатываться соответствующий документ. Его статус и порядок разработки и введения в действие определяет уполномоченный орган по управлению информатизации города Москвы.
1.2. Техническое обеспечение ИБ
Техническое обеспечение ИБ включает технологии, механизмы и средства, позволяющие реализовать заданный уровень информационной безопасности каждой конкретной информационной системы и ресурса города Москвы и компонентов инфраструктуры КСИБ путем выполнения комплекса организационно-технических мероприятий.
При выполнении мероприятий обеспечения ИБ должны быть реализованы требования ИБ к технологическим процессам обработки информации в ИСиР с учетом специфики отраслей хозяйства города и территориального управления, к технологии создания и применения систем защиты ИСиР (на основе модели жизненного цикла автоматизированной системы), а также требования ИБ к механизмам и средствам защиты (далее — требования ИБ).
Требования ИБ должны определять содержание и цели деятельности организации комплексов городского хозяйства Москвы и территориального управления, включая КСИБ, в рамках процессов управления информационной безопасностью города. В каждой отрасли городского хозяйства (по принадлежности) и территориального управления должны быть определены требования ИБ применительно к специфике отрасли, реализующей в ИСиР следующие технологические процессы:
— банковских платежей органов власти города Москвы;
— имущественных отношений собственности города Москвы;
— земельных отношений собственности города Москвы;
— проектирования, строительства, реконструкции города Москвы;
— обеспечения функционирования экологически опасных производств, предприятий энергетики, транспорта и жизнеобеспечения города Москвы;
— обеспечения функций управления городом Москва;
— делопроизводства и документооборота органов власти города Москвы;
— использования ресурсов Интернет.
Система мер и средств обеспечения ИБ технологических процессов отраслей городского хозяйства и территориального управления Москвы должна соответствовать требованиям к видам обеспечения ИБ, приведенных в разделе 1 настоящих Методических рекомендаций и иных нормативных документов по вопросам информационной безопасности, действие которых распространяется на ИСиР и КСИБ в целом. Требующие защиты технологические процессы обработки информации должны быть однозначно определены в нормативно-методических документах организации комплексов городского хозяйства и территориального управления Москвы.
Результаты технологических операций по обработке информации защищаемых технологических процессов должны быть контролируемы (проверены) и удостоверены лицами/автоматизированными процессами. Лица/автоматизированные процессы, осуществляющие обработку критичной информации и контроль (проверку) результатов обработки, должны быть независимы друг от друга.
ИБ ИСиР должна обеспечиваться на всех стадиях жизненного цикла информационных систем, автоматизирующих технологические процессы комплексов городского хозяйства, территориального управления, органов власти и организаций города с учетом всех сторон, вовлеченных в процессы создания и применения АС (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений организации).
При заказе АС стадии, этапы работ и процессы, относящиеся к жизненным циклам, рекомендуется определять в соответствии с ГОСТ 34 группы и документом /6/. Владелец ИСиР в процессе ее жизненного цикла должен обеспечить выполнение следующих мероприятий в области защиты информации.
На предпроектной стадии создания ИСиР различного уровня и назначения (доработки системы в части обеспечения защиты информации) выполняются следующие работы:
— обследование ИСиР и построение модели объекта защиты, категорирование информации, циркулирующей в системе; задание уровня информационной безопасности ИСиР;
— разработка и анализ моделей угроз, уязвимостей ИСиР, способов их нейтрализации;
— разработка концептуальных (стратегических) подходов к организации защиты объекта применительно к условиям жизнедеятельности данной организации, тактики обеспечения информации безопасности организации (организационных и технических решений по защите объекта, реализующие безопасный режим работы), технических требований к защите информации ИСиР и технических заданий.
На стадии проектирования ИСиР (доработки, модификации) должны быть выполнены следующие работы:
— разработка (эскизное, техническое и рабочее проектирование) проектных решений по обеспечению защиты информации ИСиР, средств защиты информации, исходя из заданного уровня информационной безопасности ИСиР;
— реализация системы мероприятий по обнаружению, локализации, нейтрализации воздействия угроз безопасности информации и устранению уязвимостей;
— реализацию плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению, включая определение подразделений и лиц, ответственных за эксплуатацию средств защиты информации, разработку организационно-распорядительных документов, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации.
На стадии ввода в действие ИСиР выполняются следующие работы:
— опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе ИСиР;
— приемо-сдаточные испытания средств защиты информации;
— проведение аттестации объектов информатизации (ИСиР) в соответствии с действующими нормативно-техническими документами.
Аттестация АС на соответствие требованиям информационной безопасности проводиться в установленном в организации (предприятии) порядке комиссией с привлечением необходимых специалистов или аккредитованными в установленном порядке органами по аттестации в соответствии с закрепленной «Аттестатом аккредитации» за этим органом области аккредитации.
На стадиях, связанных с разработкой ИСиР (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация, поставка, ввод в действие), разработчиком должны применяться технологии разработки, позволяющие избежать:
— неверной формулировки требований к АС;
— выбора неадекватной модели жизненного цикла АС, в том числе неадекватного выбора процессов создания, эксплуатации АС и вовлеченных в них участников;
— принятия неверных проектных решений;
— внесения разработчиком дефектов на уровне архитектурных решений;
— внесения разработчиком недокументированных возможностей в АС;
— неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к АС;
— разработки некачественной документации;
— приемки АС, не отвечающей требованиям заказчика.
На стадии эксплуатации в соответствии с документом ISO TR 13569 должна быть обеспечена защита от следующих угроз:
— умышленное несанкционированное раскрытие, модификация или уничтожение информации;
— неумышленная модификация или уничтожение информации;
— недоставка или ошибочная доставка информации;
— отказ в обслуживании или ухудшение обслуживания.
Кроме этого, актуальной является угроза отказа от авторства сообщения.
На всех стадиях жизненного цикла АС должно быть организован авторский надзор и сопровождение АС. В процессе сопровождения АС должна быть обеспечена защита от угроз:
— внесения изменений в АС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей;
— невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния АС, если это не противоречит требованиям системы сертификации.
Эксплуатация ИСиР должна осуществляться в соответствии с утвержденной организационно-распорядительной и эксплуатационной документацией. В единой информационной среде и на объектах защиты в процессе эксплуатации необходимо вести мониторинг и контроль состояния защищенности, проводить необходимые доработки и модернизация ИСиР.
На стадии снятия с эксплуатации должно быть обеспечено удаление из всех технических средств (из устройств долговременной памяти) информации, несанкционированное использование которой может нанести ущерб деятельности организации. С внешних носителей информация удаляется в соответствии со сроками ее хранения.
Состав и содержание работ, проектной, проектно-сметной и эксплуатационной документации на каждой из стадий жизненного цикла ИСиР определяются действующими нормативно-техническими документами и договорами на выполнение работ. Требования ИБ должны включаться во все договора и контракты (технические задания) на проведение работ или оказание услуг на всех стадиях жизненного цикла ИСиР.
В соответствии с задачами обеспечения ИБ открытых и конфиденциальных информационных ресурсов города Москвы и положений нормативов /5-14/ требования ИБ применительно к ИСиР могут классифицироваться следующим образом:
— требования к технологиям защиты информации;
— требования к функциям систем защиты информации;
— требования к управлению функциями защиты информации;
— требования к аудиту систем защиты информации;
— требования к организации систем защиты информации.
В структуру документального оформления квалификационного минимума технического обеспечения ИБ должна входить система документов «Технические требования обеспечения ИБ ИСиР», включающая общие технические требования ИБ ИСиР и требования ИБ к отдельным типам информационных технологий (изделий ИТ) на базе которых создаются ИСиР.
Общие технические требования должны определять классификацию, порядок разработки, задания и контроля выполнения требований ИБ и содержать общий (базовый) перечень требований ИБ по установленным классам.
Требования ИБ к изделию ИТ, именуемые также как Профиль защиты, представляет собой документ, разрабатываемый в соответствии с ГОСТ Р ИСО/МЭК 15408 /10/. Профиль защиты должен представлять собой совокупность требований безопасности для некоторой категории изделий ИТ, не зависящих от конкретной реализации. Для базового уровня ИБ квалификационный минимум технического обеспечения ИБ должен включать следующие документы:
— общие технические требования информационной безопасности ИСиР;
— технические требования базового уровня общесистемного программного обеспечения;
— технические требования базового уровня систем управления базами данных;
— технические требования базового уровня локальных вычислительных сетей;
— технические требования базового уровня при взаимодействии с внешними сетями;
— технические требования базового уровня интернет порталов;
— технические требования базового уровня систем электронного документооборота,
а также техническую документацию на СЗИ, разрабатываемую по требованиям госстандартов
Вариант перечня технических требований обеспечения ИБ приведен в приложении 4.
На основании технических требований для реализации минимального набора требований ИБ по защите информации в ИСиР, содержащей сведения конфиденциального характера, должно быть выполнено:
— выделение информации с ограниченным доступом, подлежащей защите на основе перечней сведений конфиденциального характера, разрабатываемых органами власти, на предприятиях и в организациях с учетом особенностей автоматизированной обработки информации, а также определение порядка отнесения информации к категории конфиденциальной;
— реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации с ограниченным доступом;
— ограничение доступа персонала и посторонних лиц в помещения, где размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация с ограниченным доступом, непосредственно к самим средствам информатизации и коммуникациям;
— разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
— учет документов, информационных массивов, регистрация действий пользователей АС и обслуживающего персонала, контроль за санкционированным и несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
— надежное хранение традиционных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
— необходимое резервирование технических средств и дублирование массивов и носителей информации;
— использование сертифицированных средств защиты информации при обработке конфиденциальной информации;
— использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
— физическая защита помещений и собственно технических средств АС с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и информационных носителей;
— криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи (при необходимости, определяемой особенностями функционирования конкретных АС);
— исключение возможности визуального (в том числе, с использованием оптических средств наблюдения) просмотра обрабатываемой информации;
— предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок;
— использование волоконно-оптических линий связи для передачи информации с ограниченным доступом;
— использование защищенных каналов связи;
— использование средств мониторинга событий ИБ и катострофоустойчивости данных, функционирующих в составе инфраструктуры КСИБ под управлением центра мониторинга и центра защищенного резервного хранения данных.
Рассмотренные требования настоящего раздела составляют необходимый квалификационный минимум требований технического обеспечения ИБ при формировании базового уровня любой из городских ИСиР, содержащих конфиденциальную информацию.
1.3. Организационное обеспечение ИБ
Организационное обеспечение ИБ должно основываться на совокупности управленческих документированных решений, направленных на выполнение задач обеспечения ИБ (приложение 1).
На доктринальном уровне /1-2/, имеется документированное решение по государственной системе обеспечения ИБ и ее региональным составным частям. Решением Правительства Москвы /4/ на уровне субъекта Федерации определена комплексная система ИБ г.Москвы. Организационное обеспечение КСИБ, как компоненты системы обеспечения ИБ РФ, требует:
— руководства КСИБ первыми лицами Правительства Москвы, а ее подсистемами ИБ отраслей хозяйства города и органов власти – их руководителями;
— коллегиального принятия решений о координации деятельности и подготовке рекомендаций стратегического уровня в области информационной безопасности Комиссией по информационной безопасности при Мэре Москвы;
— координации и контроля деятельность органов исполнительной власти города Москвы по обеспечению защиты конфиденциальной и открытой информации уполномоченным органом управления информатизацией города Москвы;
— наличия в каждом органе власти города Москвы подразделения и/или должностных лиц ответственных за обеспечение информационной безопасности — защиту информации органов исполнительной власти города Москвы.
— управления компонентами инфраструктуры КСИБ подразделениями центров мониторинга и защиты информационных ресурсов города, удостоверяющих центров по выдаче и подтверждению цифровых сертификатов, защищенных центров хранения и обработки информационных ресурсов города Москвы.
Должностные лица исполнительной власти города Москвы, органы исполнительной власти города Москвы, структурные подразделения Аппарата Правительства Москвы и Аппарата Мэра Москвы должны руководствоваться в своей деятельности по обеспечению ИБ нормативно-правовыми, организационно-распорядительными, нормативно-техническими и методическими документами (подразделы 1.1.-1.2), а также Регламентом Правительства Москвы /19/ и соответствующими нормативными документами, регламентирующими порядок работы органов исполнительной власти города Москвы.
Руководители всех уровней КСИБ совместно с подразделениями защиты и ответственными за ИБ организации должны обеспечивать выполнение программ, планов, принимаемых на основании документированных решений, для реализации мероприятий по обеспечению ИБ.
Регламентом Правительства Москвы определены механизмы разработки, пересмотра и обновление планов, а также контроля возможности их выполнения. Разработкой документов, необходимых для осуществления планов обеспечения ИБ, должны заниматься постоянно действующие группы планирования. Целесообразно чтобы группы планирования возглавляли руководители структурных подразделений ИБ. Документы должны подвергаться корректировке по мере появления изменений в составе нормативного правового обеспечения или иных нормативов, требующих переоценки взглядов, выполнения новых задач обеспечения ИБ.
Планы должны формироваться с использованием программно-целевых методов планирования, отражать специфику видов обеспечения ИБ и организационно-технические особенности создания и применения объектов информатизации. Программно-целевое планирование следует рассматривать с позиций практического применения системного подхода в управлении процессами обеспечения ИБ, с учетом следующих аспектов организации работ по защите ИСиР: единство цели; фиксирование комплекса обусловленных целью задач и мероприятий; обеспеченность последних ресурсами; планомерность реализации; конкретность сроков выполнения; комплексность задач и их решения.
Применение методов программно-целевого планирования рассмотрим на примере решения задач обеспечения катастрофоустойчивости АС.
В целях обеспечения бесперебойной работы организации должно осуществляться планирование восстановительных мер штатных режимов функционирования ИСиР. Для защиты критически важных информационных процессов от последствий крупных аварий и катастроф должен разрабатываться план обеспечения бесперебойной работы организации (по терминологии документа /11/). План должен учитывать возможные последствия следующих событий:
— неумышленное уничтожение данных из-за ошибок пользователей;
— сбои в электроснабжении;
— стихийные бедствия, техногенные аварии и катастрофы;
— умышленные действия, направленные на нанесение ущерба;
— отказы программных и технических средств.
Процесс планирования бесперебойной работы организации должен включать:
— определение критически важных информационных ресурсов и систем и их ранжирование по приоритетам;
— определение возможного воздействия аварий различных типов на защищаемые ресурсы;
— определение и согласование обязанностей должностных лиц и планов действий структурных подразделений в чрезвычайных ситуациях;
— определение необходимых людских и материальных ресурсов для устранения последствий кризисной ситуации;
— документирование согласованных процедур и процессов;
— надлежащую подготовку персонала к выполнению согласованных процедур и процессов в чрезвычайных ситуациях.
Все должностные лица и сотрудники объекта информатизации должны четко знать и уметь выполнять свои обязанности, зафиксированные в планах обеспечения бесперебойной работы организации.
В целях соблюдения законопослушности и исполнительской дисциплины при выполнении программ и планов обеспечения ИБ Регламенты органов власти города должны определять управленческие решения по соблюдению существующих законов, контролю действий должностных лиц, ответственных за выработку программных решений по безопасности и, наконец, обеспечению лояльности персонала, достигаемой методами поощрений и наказаний. Кроме того, Регламенты должны устанавливать общий порядок управления защищаемыми информационными ресурсами, режим их информационной безопасности, координацию использования этих ресурсов, выделения специального персонала для защиты критически важных систем и ресурсов, поддержания контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.
Так, для обеспечения установленного режима информационной безопасности необходимо:
— организовать общую подготовку кадров организаций, предприятий и органов власти г. Москвы для выполнения установленных требований по обеспечению информационной безопасности;
— организовать подготовку специалистов для эксплуатации систем и средств защиты и обеспечения контроля соблюдения установленных требований к информационной безопасности в деятельности организаций, предприятий и органов власти г. Москвы;
— получить письменное обязательство каждого, принимаемого на работу сотрудника о соблюдении конфиденциальности. Условие соблюдения конфиденциальности должно распространяться на всю защищаемую информацию, доверенную сотруднику или ставшую ему известной в процессе выполнения им своих служебных обязанностей;
— определить правила реагирования сотрудников на события, несущие угрозу безопасности;
— вменить в обязанности сотрудникам обязательное уведомление об обнаруженных инцидентах и слабых местах в системе безопасности;
— определить ответственность за нарушение режима безопасности информации.
Нарушения, связанные с выполнением требований руководящих документов по ИБ, применению средств защиты информации и разграничения доступа, использованию технического, информационного и программного обеспечения ИСиР на объектах информатизации города Москвы (далее – нарушения), по степени их опасности целесообразно разделить на следующие категории:
— нарушения 1 — ой категории;
— нарушения 2 — ой категории;
— некатегорированные нарушения.
К нарушениям 1-ой категории относятся нарушения, повлекшие за собой разглашение (утечку) защищаемых сведений, утрату бумажных документов и магнитных носителей информации, уничтожение (искажение) информационного и программного обеспечения, выведение из строя технических средств. К нарушениям 2-ой категории относятся нарушения, в результате которых возникает возможность наступления одного из событий, относящегося нарушению 1-ой категории. Остальные нарушения, не вошедшие в первую и вторую категории, относятся к некатегорированным нарушениям.
С учетом категорирования нарушений органы власти города Москвы должны руководствоваться следующими перечнями.
Нарушения 1 — ой категории:
— утрата бумажных документов и магнитных носителей информации, содержащих охраняемые (конфиденциальные) сведения;
— действия сотрудников структурных подразделений предприятий, организаций и органов власти, приведшие к искажению или разрушению охраняемых сведений или иных защищаемых ресурсов;
— умышленная разработка, использование и распространение вредоносных программ (программ — вирусов и т. п.), а также непреднамеренные (по халатности) виновные действия, приведшие к использованию и распространению таких программ;
— несанкционированная корректировка адресной информации маршрутов и путей коммутации технических средств пользователей данных и сообщений в информационных сетях;
— компрометация средств защиты информации;
— несанкционированный доступ к защищаемой информации;
— несанкционированные действия сотрудников, направленные на сбор, накопление и обобщение охраняемых сведений.
Нарушения 2 -ой категории:
— компрометация паролей;
— несвоевременная замена паролей и идентификаторов при их компрометации;
— вывод информации, содержащей охраняемые сведения, на неучтенные носители информации и машинные документы;
— несанкционированное внесение изменений в программное информационное обеспечение информационных систем;
— несанкционированное отключение средств защиты информации;
— самовольное отключение средств антивирусной защиты;
— несанкционированное подключение к вычислительной сети нештатных технических средств обработки информации (например, личных портативных компьютеров и т.п.);
— вход в систему в обход системы защиты (загрузка ОС с дискеты, оптического диска или другого внешнего носителя);
— отсутствие разграничения доступа к информации, содержащей охраняемые сведения и обрабатываемой в многопользовательском режиме, при работе по технологии клиент-сервер, а также доступа из других информационно — вычислительных сетей по каналам корпоративной или открытой сети;
— нарушение порядка учета, хранения и обращения со средствами разграничения доступа к информации.
Перечень категорированных нарушений должен ежегодно корректироваться, распространяться по инфраструктуре информационной безопасности и доводиться до всех сотрудников, работающих с защищаемыми ресурсами.
Практическая реализация подхода, основанного на использовании базового уровня безопасности, требует выполнения каждым владельцем ИСиР следующего квалификационного минимума требований организационного обеспечения ИБ, разрабатываемых с учетом требований к видам обеспечения ИБ настоящего Методического положения:
— обеспечение штатного наполнения иерархической структуры КСИБ;
— разработка и контроль реализации программ и планов обеспечения ИБ города и отдельных ИСиР;
— организация ведения договорной работы государственных заказчиков создания и эксплуатации ИСиР, контроль лицензий на право ведения работ по созданию, обслуживанию защищаемых ИСиР и порядка применения сертифицированных средств защиты;
— определение порядка обращения с категорированной информацией ИСиР в соответствии с требованиями регламентов Правительства Москвы и настоящих Методических рекомендаций;
— организация разработки типовых решений и технологий защиты, рекомендуемых для обеспечения базового уровня безопасности городских информационных ресурсов и систем;
— разработка организационно-технического обеспечения анализа и оценки информационных рисков комплексов городского хозяйства, имеющих надежные методики оценки стоимости защищаемых информационных ресурсов и ущерба от их повреждения или утраты, а также регламенты соответствующих компенсационных механизмов;
— разработка порядка проведения аттестации объектов информатизации предприятий, организаций и органов власти города Москвы на соответствие требованиям установленного уровня информационной безопасности;
— организация обеспечения контроля соответствия объектов информатизации г. Москвы требованиям базового и повышенных уровней безопасности с задействованием средств инфраструкуры КСИБ центров мониторинга событий ИБ, резервного хранения данных и удостоверяющих центров сертификатов ключей электронной цифровой подписи;
— контроль выполнения регламентов органов власти города в части обеспечения ИБ, реализации механизмов поощрения и наказания должностных лиц.
2. Рекомендации по определению объекта защиты и категории защищаемой информации
Идентификация информационных систем органов исполнительной власти города Москвы, категорирование информационных ресурсов ИСиР по степени их открытости входят в состав первоочередных задач обеспечения ИБ города Москвы.
Нормативно – правовыми документами (приложение 1) информационная система определяется как организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы. А информационные ресурсы города Москвы — как информация (независимо от способа ее представления, хранения или организации), содержащаяся в информационных системах и относимая к собственности города Москвы.
В приведенных определения не присутствует основной субъект отношений в области ИБ — персонал ИС. Поэтому при последующем изложении материала вместо термина ИСиР как правило использован термин Автоматизированная система (АС), определяемый ГОСТ 34.003-90 как система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. При этом подразумевается, что вещие права на информационные системы и/или ресурсы принадлежат городу Москве.
В соответствии с целями обеспечения конфиденциальности, целостности и доступности информации АС рассматриваться в качестве объекта информатизации, подлежащего защите.
С позиций решения задач обеспечения ИБ, рассматриваемых настоящими Методическими рекомендациями, положением по защите информации /18/ в качестве объектов защиты определены информационные системы и ресурсы города, включающие:
— — открытую, общедоступную информацию;
— конфиденциальную информацию, в том числе информацию, содержащую служебную тайну, коммерческую тайну, профессиональную тайну и персональные данные;
— автоматизированные системы (АС) различного уровня и назначения на базе средств вычислительной техники, средства и системы связи и передачи данных в АС, программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для сбора, хранения, обработки и передачи информации, средства защиты информации.
Определение объектов защиты и оценка их текущего состояния для решения задач обеспечения ИБ проводится на предпроектной стадии, на этапах технорабочего проектирования и приемо-сдаточных испытаний АС, а также в ходе инвентаризации, аттестации и доработок в процессе эксплуатации АС.
С этой целью должна быть описана иерархическая структура создаваемой АС с детализацией от единиц оборудования (рабочая станция, маршрутизатор и т.п.) до комплектующих элементов (при необходимости) и установленного программного обеспечения. Идентификация объектов защиты (информации) выполняется путем указания их положения в структуре АС и определения их класса на основании классов объектов (автономный объект малого масштаба, распределенный объект среднего масштаба с 3-я уровнями межсетевого обмена и т.п.). Классификация объектов должна позволить устанавливать их взаимосвязи с полем угроз безопасности, вычленяя в процессе идентификации характерные наборы единичных угроз нарушения безопасности для каждого из классов АС.
В процессе идентификации объектов защиты (защищаемых ресурсов) должен быть составлен перечень ресурсов, несанкционированный доступ к которым может привести к нарушению безопасности хранимых и обрабатываемых ресурсов.
Все подлежащие защите ресурсы должны быть категорированы по признаку доступности на открытые и конфиденциальные информационные ресурсы. Хранимая и обрабатываемая конфиденциальная информация критична к нарушениям целостности, доступности, конфиденциальности и подлинности. Открытая информация критична к нарушениям целостности, доступности.
В целях категорирования информационных ресурсов на этапе предпроектного обследования АС в соответствии с документом /6/ должен быть разработан перечень сведений конфиденциального характера подлежащих защите.
Объекты защиты должны находиться под постоянным наблюдением служб ИБ, подлежать учету, аттестации и переаттестации в соответствии с /20-21 и др./.
Информация об объектах защиты, и их изменениях отражаются в отчетных документах установленным порядком.
3. Рекомендации по описанию процесса обеспечения ИБ ИСиР
После определения объектов защиты и категорирования информации переходят к описанию процесса обеспечения их информационной безопасности, удовлетворяющего рекомендованным требованиям раздела 1. В условиях ограниченных объемов исходных данных на начальном этапе создания АС должна разрабатываться модель обеспечения информационной безопасности АС. Модель обеспечения ИБ создается на стадии эскизного проектирования, уточняется на последующих стадиях создания АС и может применяться для оценок уровня ИБ АС при его использовании, модернизации.
Цели создания модели определяются целями обеспечения защиты информации АС (см. документ /18/) и задачами получения аппарата оценки различных вариантов защиты АС от известного поля угроз, нейтрализация которых осуществляется для обеспечения заданного уровня ИБ ИСиР.
3.1. Порядок формирования модели обеспечения ИБ
Модель обеспечения ИБ АС (МОИБ) представляется совокупностью описаний способов задания, оценки и контроля обеспечения уровня информационной безопасности, разрабатываемых в виде моделей угроз, защиты с учетом критериев обеспечения ИБ. Применительно к поставленным задачам обеспечения ИБ (см. раздел 1) МОИБ может создаваться на уровне систем обеспечения ИБ города Москвы, органа власти города, отдельной АС.
МОИБ должна строиться на принципах классической модели системы управления. Внешние факторы (воздействия) включают весь спектр угроз информационной безопасности. В целях предотвращения реализации угрозы (атаки), нейтрализации ее последствий орган управления системой (структуры, нормы и правила защиты) вырабатывает управляющие воздействия, выделяющие из совокупности требований к объекту управления – системе защиты в составе АС необходимый и достаточный набор значений (в простейшем случае единичное значение — требование), задающий методы и средства подавления входного воздействия (угрозы), которые воплощаются в объекте управления. В случае выявления в результате атаки уязвимости система управления посредством обратной связи вырабатывает дополнительное требование к защите АС (к органу и/или объекту управления), которое инициирует создание адекватного угрозе средства защиты. В итоге должна быть изменена защита ИСиР путем комплексного совершенствования управляющего органа и объекта управления или одной из составляющих модели обеспечения ИБ.
Формирование модели обеспечения защиты ИСиР включает сбор и анализ информации, подготовку на основании рекомендаций ФСТЭК, госстандатров /7-9/ и настоящих Методических рекомендаций состава угроз, возможных нарушителей и требований по защите, а также по организации управления, структуре и функциям СЗИ с учетом местных особенностей применения модели.
Применительно к задачам формирования требований обеспечения ИБ города Москвы орган управления процессами обеспечения ИБ МОИБ в соответствии с требованиями раздела 1.3 и положениями /18/ должен иметь следующую структуру:
— руководители Правительства Москвы,
— комиссия по ИБ при Мэре Москвы,
— руководители отраслей городского хозяйства и территориального управления Правительства Москвы,
— руководители исполнительных органов власти Правительства Москвы,
— уполномоченный орган управления информатизацией города Москвы;
— подразделения центров мониторинга и защиты информационных ресурсов города, удостоверяющих центров по выдаче и подтверждению цифровых сертификатов, защищенных центров хранения и обработки информационных ресурсов города Москвы,
— руководители предприятий и организаций Москвы – владельцы ИСиР,
— подразделения информационной безопасности,
— администраторы ИСиР.
Каждому из компонентов структуры органа управления должны соответствовать свой набор минимальных квалификационных требований ИБ, используемых для программирования базового уровня ИБ ИСиР.
В ходе формирования модели устанавливаются взаимосвязи объектов защиты с угрозами возможного нарушения их безопасности, задается «нормаль» угроз, позволяющая моделировать воздействие значимых угроз на заданные объекты защиты. «Нормаль» угроз должна отвечать требованиям полноты и достоверности. За основу «нормали» может быть выбран каталог угроз, (приведен в документе /14/) содержащий около 600 наименований угроз, структурированных по следующим классам: форс-мажорные обстоятельства, недостатки организационных мер, ошибки человека, технические неисправности и преднамеренные действия. Более подробный классификатор, учитывающий требования ГОСТ /7/ и руководящих документов ФСТЭК РФ приведен на основании документа /22/ в
приложении 4.
Критерии значимости угрозы, входящей в «нормаль», для заданного объекта защиты определяются задачами и требованиями к видам обеспечения ИБ.
Работы по определению возможной реакции защиты на потенциальную угрозу следует начинать с построения модели защиты, в которой указываются все возможные меры защиты и противодействия угрозам, содержащимся в «нормали».
Следующим шагом должно стать определение значимости возможных мер защиты. Значимыми для плана защиты будем считать те мероприятия, которые отвечают требованиям ИБ по нейтрализации значимых угроз безопасности объекта.
Далее моделируются и анализируются возможные варианты комплекса средств защиты и по критериям эффективность-стоимость определяются наиболее предпочтительные для удовлетворения заданным требованиям к системе защиты.
3.2. Модели угроз
Угроза безопасности АС — это потенциально возможное действие (случайное или преднамеренное), которое в случае его реализации оказывает нежелательное воздействие на ресурсы АС.
Источниками угроз, способными вызвать нарушения защиты АС, являются персонал системы, ее пользователи и злоумышленники, программно-технические средства и устройства сетей жизнеобеспечения АС, а также землетрясения, грозовые разряды, наводнения, оползни почвы и, кроме того, техногенные катастрофы и акты терроризма и т.п.
Модель угроз описывается через понятия источника угрозы, предполагаемого метода нападения, уязвимостей, которые являются предпосылкой для нападения, и идентификации ресурсов, которые являются целью нападения. Ее взаимосвязи с другими составляющими модели обеспечения ИБ отображены на рис. 1.1.
Модель угроз должна иметь четкие связи с моделью объекта защиты (структурно, через соответствие классификаций угроз и объектов защиты) и отражать динамику процессов: маркировки; идентификации угрозы и ее источника; описаний зарождения, развития, реализация и регенерации угрозы; идентификации методов реализации угрозы; описания результатов анализа рисков.
Модель угроз должна отвечать требованиям к назначению, выбору, итерации, уточнению, наглядности моделей, отражать зависимости между угрозами безопасности. Наглядность представления информации о соответствии целей безопасности идентифицированным угрозам возможного нарушения безопасности объекта защиты отображается: а) путем показа, посредством таблицы, какие цели безопасности каким угрозам противостоят, гарантирующего соответствие каждой цели безопасности по крайней мере одной угрозе безопасности; б) путем обеспечения для каждой угрозы аргументации относительно того, почему идентифицированные цели безопасности являются достаточными для того, чтобы противостоять данной угрозе.
В соответствии с требованиями к модели обеспечения ИБ необходимо описать источники угроз, основным из которых является деятельность человека. Для построения модели угроз выделяется категория людей – нарушители информационной безопасности. Формализация деятельности нарушителя ИБ представляется в виде модели нарушителя, дающая описание процессов зарождения, развития, реализация и регенерации угрозы. Неформальная модель нарушителя должна отражать его практические и теоретические возможности, априорные знания, время и место действия и т.п. Следует учесть, что для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы.
При разработке модели нарушителя ИБ должны быть определены:
а) предположения о категориях лиц, к которым может принадлежать нарушитель;
б) предположения о мотивах действий нарушителя (преследуемых нарушителем целях);
в) предположения о квалификации нарушителя и его технической оснащенности (об используемых для совершения нарушения методах и средствах);
г) ограничения и предположения о характере возможных действий нарушителей.
Нарушители информационной безопасности ИСиР по признаку обладания правом допуска внутрь контролируемой зоны объекта информатизации делятся на внешних и внутренних.
Рис. 1.1. Взаимосвязи угроз с объектом защиты
Предположения о квалификационных признаках характеризуют внешнего нарушителя как высококвалифицированного специалиста в области перехвата информации, знающего:
— особенности системного и прикладного программного обеспечения, а также технических средств;
— специфику задач, и структуру АС;
— функциональные особенности работы АС и закономерности формирования в нем массивов конфиденциальной информации и потоков запросов к ним;
— сетевое и канальное оборудование, протоколы передачи данных.
Внешний нарушитель может использовать специальное оборудование, предназначенное для съема информации с кабельных линий связи, спутниковых каналов, радиоканалов и т.д.
Внутренним нарушителем может быть лицо из следующих категорий сотрудников организации – владельца АС:
— пользователи информационных ресурсов;
— обслуживающий персонал (системные администраторы, администраторы ЛВС, инженеры);
— сотрудники-программисты, сопровождающие системное, общее и прикладное программное обеспечение;
— другие сотрудники, имеющие санкционированный доступ в помещение, где расположено оборудование передачи и обработки информации.
Предположения о квалификации внутреннего нарушителя формулируются следующим образом. Внутренний нарушитель:
— является высококвалифицированным специалистом в области разработки и эксплуатации программного обеспечения и технических средств, знает специфику задач, решаемых организациями, является системным программистом, способным программно модифицировать работу операционных, в том числе сетевых операционных систем;
— правильно представляет функциональные особенности работы АС и закономерности формирования в нем массивов конфиденциальной информации и потоков запросов к ним;
— нарушитель может использовать только штатное оборудование и технические средства (предполагается исключение возможности использования специальных средств организационными мерами).
Для характеристики возможных действий, ограниченных полномочиями и способом доступа к АС, нарушители подразделяются на категории.
Категория А: не имеющие доступа к ресурсам лица, имеющие санкционированный доступ в помещения с оборудованием АС.
Лицо, относящееся к категории А:
— может иметь доступ к любым фрагментам информации, распространяющейся по внутренним каналам связи;
— может располагать любыми фрагментами информации о топологии сети (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;
— может располагать именами зарегистрированных пользователей и вести подбор паролей зарегистрированных пользователей.
Категория В: зарегистрированный пользователь ресурсов АС.
Лицо, относящееся к категории В:
— знает, по меньшей мере, одно легальное имя доступа;
— обладает всеми необходимыми атрибутами, обеспечивающими доступ к некоторому подмножеству ресурсов (например, паролем);
— располагает информацией о топологии ЛВС, через которую он осуществляет доступ, и технических средствах обработки информации.
— имеет возможность прямого (физического) доступа к фрагментам технических средств.
Категория С: зарегистрированный пользователь с полномочиями системного администратора.
Лицо, относящееся к категории С:
— обладает полной информацией о системном и прикладном программном обеспечении;
— обладает полной информацией о технических средствах и конфигурации сети;
— имеет доступ ко всем техническим средствам обработки информации и данным, обладает правами конфигурирования и административной настройки технических средств обработки информации.
Категория D: зарегистрированный пользователь с полномочиями Администратора безопасности.
Лицо, относящееся к категории D:
— обладает всеми возможностями лиц категории А и B;
— обладает полной информацией о корпоративной сети;
— имеет доступ к средствам защиты информации и протоколирования;
— не имеет никаких прав доступа к конфигурированию технических средств сети за исключением инспекционных.
Категория E: сотрудники подразделений информационных технологий, выполняющие разработку прикладного программного обеспечения, а также архивирование и восстановление данных.
Лицо, относящееся к категории E:
— обладает информацией об алгоритмах и программах обработки информации;
— обладает возможностями внесения ошибок, программных «закладок», «троянских коней», вирусов в ПО на стадии разработки и сопровождения;
— может располагать любыми фрагментами информации о топологии ЛВС и технических средствах обработки.
Перечисленными пятью категориями следует характеризовать внутреннего нарушителя. Внешние нарушители подразделяются на следующие три категории.
Категория F: Не имеющие санкционированного доступа в помещения организации и не зарегистрированные как удаленные пользователи.
Лицо, относящееся к категории F:
— ведет перехват, анализ и модификацию информации, передаваемой по каналам связи, проходящим вне контролируемой территории;
— имеет подключение к сети Интернет, либо сетям организаций предоставляющих доступ в Интернет;
— может осуществлять удаленные несанкционированные воздействия (атаки) на ресурсы АС.
Категория G: не являющиеся сотрудниками лица, имеющие санкционированный доступ в помещения организации.
Лицо, относящиеся к категории G:
— может иметь доступ к любым фрагментам информации, распространяющейся по внутренним каналам связи;
— может располагать любыми фрагментами информации о топологии сети (коммуникационной части подсети) и об используемых коммуникационных протоколах и их сервисах;
— может располагать именами зарегистрированных пользователей АС и вести подбор паролей зарегистрированных пользователей;
— может иметь возможность прямого (физического) доступа к фрагментам технических средств.
Категория H: не являющиеся сотрудниками организации лица, имеющие санкционированный доступ к каналам связи.
Лицо, относящееся к категории H имеет полный доступ к информации, передаваемой по каналам связи.
При анализе воздействий на ИСиР угроз, их идентификации с использованием приведенной методологии, следует принять следующие возможности типового нарушителя: имеет доступ на территорию системы, знает характеристики, конфигурацию, возможности и принципы функционирования технических средств обработки информации, а также принципы функционирования установленных средств защиты, владеет техническими средствами нападения, имеет практический опыт их применения.
При формировании модели угроз в ряде случаев после идентификации угроз ресурсам АС и описания нарушителя необходимо установить уровень опасности реализации угроз информационной безопасности, используя следующие градации опасности.
Высокая. Реализация угрозы может привести к нарушениям процессов функционирования автоматизированной системы в целом и/или к утечке конфиденциальной информации.
Средняя. Реализация угрозы может привести к нарушениям процессов функционирования компонент АС, к нарушению целостности и доступности открытой информации.
Низкая. Реализация угрозы может привести к незначительным нарушениям процессов функционирования компонент АС и/или к нарушению целостности и доступности второстепенной информации.
Исследовав, с помощью моделей угроз, причины нарушений, можно либо повлиять на сами эти причины (конечно, если это возможно), либо точнее определить требования к системе защиты.
3.3. Оценка применимости моделей угроз в задачах обеспечения ИБ ИСиР
Оценку практического использования модели угроз рассмотрим на примерах использования процедур идентификации угроз и моделирования действий нарушителя для объекта защиты, представляющего собой один из следующих видов АС, характерных для многих объектов информатизации комплексов городского хозяйства Москвы.
АС первого вида является совокупностью средств вычислительной техники, осуществляющих взаимодействие по технологии локальных сетей, программных средств (общесистемное и общее прикладное программное обеспечение, включая операционные системы, системы управления базами данных, офисные пакеты и др.) Масштаб АС характеризуется десяткам рабочих станций, единицами серверов, обрабатывающих открытую информацию и не имеющих иерархической структуры межсетевого обмена.
В отличие от рассмотренной, второй вид АС обрабатывает персональные данные, имеет специальное программное обеспечение удостоверяющего центра, выдающего сертификаты ключей электронной цифровой подписи, собственную точку присутствия в сетях общего пользования и подсистему информационной безопасности.
Поскольку каждая конкретная методика решает свою задачу, она нацелена на анализ определенного подмножества угроз и оценку выполнения определенного подмножества требований. В ниже рассмотренных примерах из «нормали» угроз в зависимости от вида АС выбирается некая совокупности угроз, значимых для данного вида АС (см. разделы 2, 3.1)
Для первого вида АС возможны следующие виды угроз:
Угрозы, связанные с применением технических средств автоматизации:
— физическое повреждение аппаратных средств;
— физическое повреждение линий связи;
— перебои в системе электропитания;
— отказы аппаратных средств.
Угрозы, связанные с использованием программного обеспечения:
— ошибки в программном обеспечении;
— анализ и модификация программного обеспечения;
— наличие в программном обеспечении “закладок” и “троянских коней”;
— наличие в программном обеспечении “задних дверей”, оставляемых разработчиками для отладки;
— атаки программных вирусов.
Угрозы, связанные с попытками взлома системы безопасности
— взлом программной защиты;
— использование сетевых анализаторов;
Угрозы безопасности со стороны персонала:
— несанкционированное получение и использование привилегий;
— несанкционированный доступ к наборам данных других участников;
— несанкционированный доступ к базам данных, архивам;
— выполнение действий одним участником от имени другого;
— разглашение реализации программной защиты;
— раскрытие, перехват, хищение кодов, ключей, паролей;
— ошибочный ввод данных;
— умышленная порча аппаратного и программного обеспечения.
Угрозы, связанные с естественными и природными факторами:
— пожар и другие стихийные бедствия;
— кража оборудования;
— диверсии.
Для второго вида АС в вышеприведенный перечень угроз следует добавить следующие:
Угрозы, связанные с нарушением технологического процесса обмена данными:
— отказ от авторства сообщения;
— отказ от факта получения сообщения;
— подмена принятого сообщения;
— имитация принятого сообщения;
— подмена передаваемого сообщения;
— имитация передаваемого сообщения;
— нарушение целостности потока сообщений.
Угрозы, связанные с попытками взлома системы безопасности
— использование сетевых анализаторов;
— перехват информации на линиях связи.
Угрозы безопасности со стороны персонала:
— прерывание процесса передачи и обработки информации;
— чтение остаточной информации в оперативной памяти и на магнитных носителях;
— хищение носителей информации, производственных отходов.
Приведенные процедуры идентификации угроз для заданного объекта защиты могут быть использованы в качестве исходных данных для дальнейших работ (см. ниже) по моделированию обеспечения ИБ или представлять практический интерес для скорейшего решения поставленной задачи.
Ограничивая моделирование обеспечения ИБ исследуемой АС, ее структуры и объектов защиты критериями покрытия значимых угроз АС заданными требованиями ИБ, можно получить достаточно обоснованный вариант решения по защите АС. В разделе 6 приводится перечень возможных превентивных и восстановительных мер для вышеприведенных угроз безопасности комплексу программных и технических средств первого из вышерассмотренных видов автоматизированной системы. Так как многие органы власти и организаций города Москвы имеют АС, относящихся к первому виду, мероприятия из раздела 6 носят достаточно универсальный характер и могут использоваться подразделениями безопасности как пособие для практического руководства к действию.
Следующий пример применимости моделей угроз в задачах обеспечения ИБ ИСиР рассматривает в качестве объекта защиты второй вид АС, приведенный в начале данного раздела и требует специального рассмотрения модели нарушителя
Для достижения целей моделирования в виде получения оценки соответствия защиты АС заданным требований ИБ принимают следующее условие. «Модель нарушителя, разработанная для условий известной системы защиты или возможных ее вариантов, построенных на основании заданных требования ИБ, может быть использована как эталон для принятия решения о соответствии аттестуемого решения защиты ИСиР рекомендуемому руководящими документами ФСТЭК, ФСБ РФ классу защиты».
Пусть объект защиты определен как удостоверяющий центр цифровых сертификатов, который характеризуется категорией информационных ресурсов, механизмами и средствами защиты разработанными с учетом требований ИБ /например, 23/, и признан соответствующими второму виду АС. В процессе проектирования удостоверяющего центра идентифицированы угрозы, характерные для второго класса АС. В процессе разработки модели угроз определены внешние и внутренние нарушители. Определена степень опасности реализации угроз каждого нарушителя. Потенциальная опасность действий лиц, выполняющих роли обслуживающего персонала и администраторов признана низкой.
Тогда, используя эталонную модель нарушителя при моделировании угроз и действий нарушителя, нетрудно установить, что несмотря на высокий уровень квалификации и технической оснащенности категория внешнего нарушителя соответствует «Н», а АС в целом классу защиты КС2 в соответствии с требованиями документа /24/.
3.4. Модель защиты
В условия большого числа неопределенностей исходных данных для создания систем защиты объекта информатизации, необходимо разрабатывать модель защиты ИСиР.
Модель защиты должна описывать (моделировать) процессы, связанные с уязвимостями АС, формированием элементов обороны АС (структуры, функций, алгоритмов действия), выбора необходимых средств защиты и механизмов обратной связи МОИБ.
Модель защиты не должна противоречить принципам, на которых в последствии будет строиться система защиты АС, включая принципы системности; непрерывности защиты; разумной достаточности; гибкости управления и применения; открытости алгоритмов и механизмов защиты; простоты применения защитных мер и средств.
С позиций больших систем процессы составления модели защиты должны включать описание структурного представления и функционирования защиты в виде системы защиты информации (СЗИ) в соответствии с установленными требованиями ИБ.
В состав СЗИ ИСиР должны входить следующие подсистемы:
— управления доступом;
— регистрации и учета;
— криптографической защиты;
— обеспечения целостности;
— антивирусной защиты;
— мониторинга событий информационной безопасности;
— анализа защищенности информационных систем и ресурсов;
— обнаружения несанкционированной активности;
— управления информационной безопасности.
К подсистемам СЗИ предъявляются следующие требования.
А). Требования к подсистеме управления доступом:
— должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
— должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;
— должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
— должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
Б). Требования к подсистеме регистрации и учета:
— должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.
Примечание: В параметрах регистрации указываются:
дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
результат попытки входа: успешная или неуспешная — несанкционированная;
идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
код или пароль, предъявленный при неуспешной попытке;
— должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию.
Примечание: В параметрах регистрации указываются:
дата и время выдачи ( обращения к подсистеме вывода);
спецификация устройства выдачи [логическое имя (номер) внешнего устройства];
краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;
идентификатор субъекта доступа, запросившего документ;
— должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов.
Примечание: В параметрах регистрации указываются:
дата и время запуска;
имя (идентификатор) программы (процесса, задания);
идентификатор субъекта доступа, запросившего программу (процесс, задание);
результат запуска (успешный, неуспешный — несанкционированный);
— должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам.
Примечание: В параметрах регистрации указываются:
дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная — несанкционированная;
идентификатор субъекта доступа;
спецификация защищаемого файла;
— должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей.
Примечание: В параметрах регистрации указываются:
— дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная — несанкционированная;
— идентификатор субъекта доступа;
— спецификация защищаемого объекта [логическое имя (номер)];
— должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);
— учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);
— должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
В).Требования к подсистеме криптографической защиты:
— Шифрование и расшифрование потоков взаимодействия объектов АС;
— Реализация заданной политики безопасности для защищенных соединений;
— Обеспечивать возможность загрузки ключевой информации со специальных носителей;
— Функционировать в прозрачном для пользователей и прикладных систем режиме.
Г). Требования к подсистеме обеспечения целостности:
— должна быть обеспечена целостность программных средств объекта защиты, а также неизменность программной среды. При этом:
— целостность объекта защиты проверяется при загрузке системы по контролируемым суммам компонент защиты;
— целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
— должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;
— должно проводиться периодическое тестирование функций защиты объекта защиты при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД;
— должны быть в наличии средства восстановления объекта защиты, предусматривающие ведение двух копий программных средств защиты от НСД и их периодическое обновление и контроль работоспособности.
Д). Требования к подсистеме антивирусной защиты
— должны применяться только официально приобретенные средства антивирусной защиты. Установка и регулярное обновление средств антивирусной защиты на автоматизированных рабочих местах и серверах АС должны осуществляться администраторами АС;
— должны быть разработаны и введены в действие инструкции по антивирусной защите, учитывающие особенности технологических процессов обработки информации комплексов городского хозяйства и территориального управления. Особое внимание должно быть уделено антивирусной фильтрации трафика электронного почтового обмена.
Лучшей практикой является построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на рабочих станциях, почтовых серверах и межсетевых экранах;
— отключение или не обновление антивирусных средств не допускается. Установка и обновление антивирусных средств в организации должны контролироваться представителями подразделений (лицами) в организации, ответственными за обеспечение ИБ.
Ж). Требования к подсистеме анализа защищенности информационных систем и ресурсов:
— выявление уязвимостей на основе имеющихся в базе данных сигнатур;
— реализацию регламента сканирования, включающего периодичность сканирования, использование правил и параметров сканирования, режимов;
— формирование подробных рекомендаций по устранению найденных уязвимостей;
— формирование оценки степени их критичности выявленных уязвимостей
З). Требования к подсистеме обнаружения несанкционированной активности:
— осуществлять обнаружение несанкционированной активности на сетевом, системном и прикладном уровнях;
— обнаружение атак на информационные ресурсы на основе сравнения текущего состояния систем (сетевой активности, системных и прикладных журналов аудита и др.) с сигнатурами атак;
— возможность прекращения несанкционированной активности;
— регистрировать зафиксированные несанкционированные действия, в том числе дата и время события, тип события, идентификатор субъекта, приоритет события;
— удаленное обновление базы данных сигнатур атак;
— обеспечение доступа к базе данных зафиксированных событий, включая возможность поиска, сортировки, упорядочения записей протоколов, основанный на заданных критериях;
— обеспечение уведомления администратора о фактах несанкционированной сетевой активности (локально и удаленно);
— разграничение прав доступа операторов и администраторов к различным компонентам системы.
И). Требования к подсистеме управления информационной безопасностью:
— определять порядок организации и выполнения работ по защите информации;
— определять должностные обязанности, права и степень ответственности сотрудников подразделения информационной безопасности;
— должна определять порядок физической защиты технических средств.
Рассмотренные положения модели системы защиты (требования к структуре и функциям СЗИ) должны включаться в квалификационный минимум требований технического обеспечения ИБ, используемых для программирования базового уровня ИБ ИСиР.
Работа по обеспечению защиты ресурсов АС (СЗИ) начинается с построения нормализованной модели защиты, то есть модели, в которой указываются все возможные меры защиты и противодействия угрозам, включенным в модель значимых угроз, а модель объекта защиты выражается посредством качественных признаков предмета защиты – информации, структуры АС с максимально возможной степенью детализации, требуемой для описания всех известных уязвимостей АС, и набора требований (см. выше) к функциям СЗИ.
Под уязвимостью понимается свойство АС или компонентов АС, используя которое реализуются угрозы. Уязвимость возникает в АС, в основном, из-за недоработок или ошибок, содержащихся в продуктах ИТ, а также вследствие ошибок при проектировании АС, которые могут привести к поведению АС неадекватному целям обеспечения ее безопасности. Кроме того, уязвимости могут появляться в результате неправильной эксплуатации АС.
Следующим шагом должно стать определение значимости возможных мероприятий и мер защиты. Эта задача решается с использованием результатов моделирования значимых угроз, свойств СЗИ, уязвимостей АС и возможных информационных рисков для случая, если анализируемая мера (возможно, в комплексе с какими-то другими мерами) будет применена.
При составлении программ моделирования свойств СЗИ должны учитываться требования к техническому обеспечению ИБ (см. раздел 1.3), включая требования к модели жизненного цикла АС
3.5. Показатели информационной безопасности
В зависимости от целевого назначения (оценка, формирование уровня защиты и т.п.) и степени обобщения оцениваемых свойств органа управления, объекта защиты или модели обеспечения ИБ в целом устанавливаются общие и частные, количественные и качественны показатели ИБ.
Определение показателей ИБ ИСиР может быть основано на критериях нейтрализации (предупреждению, отражению, компенсации) угроз, которые могут нанести ущерб ИСиР. Посредством показателей, определяемых на основе критериев управления и функционирования объекта защиты, можно оценить степень взаимосвязи между угрозами безопасности и средствами защиты, степень опасности угрозы для анализа рисков, уровень защищенности «безопасного» цикла обработки информации и т.п.
Для определения уровня ИБ ИСиР будем использовать систему показателей основанных на критерии нейтрализации потенциальной угрозы. Критерий — это признак, на основании которого производится оценка, определение или классификация чего-либо. Результат любых действий, возможное решение оценивается показателем. Применительно к критерию нейтрализации потенциальной угрозы, характеризуемым приростом уровня ИБ, образовавшимся после выполнения требований ИБ, результат принятых мер по предупреждению, отражению, компенсации угроз будем оценивать показателями нейтрализации угроз.
Применение показателей нейтрализации угроз сводится к следующему. Используя модель обеспечения ИБ, каждому управляющему воздействию адекватному единственной угрозе ставится в соответствие единичное требование, задающее методы и средства подавления угрозы. Мера соответствия управляющего воздействия, адекватного единственной угрозе, оценивается частным показателем, который выражает конкретное требование к органу управления или управляемому объекту (СЗИ в составе АС).
Будем полагать, что оценка частного показателя нейтрализации единичной угрозы может принимать два пороговых значения. Когда угроза нейтрализована, требование ИБ выполнены — значение показателя равно единице, в противном случае – нулю.
Уровень ИБ АС в целом можно оценивать с помощью общих показателей защищенности АС – совокупной мерой оценок групповых и частных показателей, определенных при условии подавления угрозы реализацией одного или нескольких требований ИБ. Для получения оценок уровней ИБ используются сформированные по определенным критериям группы частных показателей, задающих классы АС. Каждый класс АС обладает индивидуальным уровнем защищенности, обеспечиваемый выполнением требований ИБ заданной группой частных показателей нейтрализации угроз. В итоге получаем непрерывный ряд (гистограмму) возможных уровней ИБ АС, ограниченный набором классов АС.
Кроме задач определения уровня ИБ, деление АС на соответствующие классы защищенности по условиям их функционирования также полезно для разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.
Выбор класса АС производится заказчиком и разработчиком АС с привлечением специалистов по защите информации. Основными этапами классификации АС являются:
— разработка и анализ исходных данных;
— выявление основных признаков АС, необходимых для классификации;
— сравнение выявленных признаков АС с классифицируемыми; присвоение АС соответствующего класса защиты информации.
Необходимыми исходными данными для проведения классификации конкретной АС являются:
— перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;
— перечень лиц, имеющих доступ к средствам АС, с указанием их уровня полномочий;
— матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
— режим обработки данных в АС.
В рассматриваемой методике число возможных уровней ИБ АС зависит от выбранных критериев формирования класса АС. Так, например, руководящим документом /25/ определено 9 классов защиты АС от несанкционированного доступа (НСД).
К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
— наличие в АС информации различного уровня конфиденциальности;
— уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
— режим обработки данных в АС — коллективный или индивидуальный.
Каждый класс защиты АС от НСД, заданный руководящим документом /25, характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) обрабатываемой информации и, следовательно, иерархия классов защищенности АС.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А. Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А. Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.
Рассмотрим алгоритмы применения частных и общих показателей ИБ. Пусть для оценки уровня ИБ используется модель частных показателей и дискретного уровня ИБ, определяемого классами защиты АС. Частный показатель ИБ будем обозначать как w, а уровень ИБ характеризовать n частными показателями wi. Если по результатам моделирования процесса обеспечения ИБ путем алгебраического суммирования значений wi получена оценка, численно равная n, то считается, что требуемый уровень ИБ достигнут.
Такой подход легко применим при оценке класса защиты АС от НСД рассмотренный в следующем подразделе.
Уровень ИБ АС может оцениваться обобщенным показателем нейтрализации угроз W, который принимает значения от 1 до 0. Если требования всех заданных частных показателей защищенности АС (противодействия угрозам) реализованы, то следует говорить о соответствии объекта защиты (ИСиР) требуемому уровню ИБ. В идеальном случае значение показателя W должно быть равно 1. Но, когда хотя бы одно из заданных требований не выполняется, значение показателя W будет меньше 1. На практике требуемый уровень ИБ АС может выражаться величиной близкой к единице.
Точность оценки показателя W зависит от возможностей учета важности частных показателей и их взаимовлияния друг на друга /26/. Кроме важности и взаимовлияния необходимо ценить качество реализации того или иного показателя обеспечения ИБ /27/.
Порядок использования показателя W включает:
1).Определение перечня показателей, учитываемых при оценке. При этом из списка показателей исключаются показатели, не имеющие отношение к рассматриваемому объекту (например, для изолированной локальной вычислительной сети не рассматриваются показатели защиты, связанные с передачей информации по открытым каналам связи). В результате получаем перечень W={wi}.
2).Определение взаимного влияния показателей матричным методом по табл.3.1.
Матрица коэффициентов взаимного влияния V
Таблица 3.1
w1 | w2 | … | wj | … | wn | |
w1 | 1 | V12 | V1j | V1n | ||
w2 | V21 | 1 | V2j | V2n | ||
…. | ||||||
Wi | Vi1 | Vi2 | Vij | Vin | ||
… | ||||||
Wn | Vn1 | Vn2 | Vnj | 1 |
Эксперты проставляют значения коэффициентов в матрице. Эти коэффициенты могут быть нормированы значениями от 0 до 1 (Значение 0,5 может означать, что i-ый показатель наполовину компенсирует отсутствие j-го показателя).
3).Определение важности показателя.
Каждому показателю wi ставится в соответствие вес Gi, который может нормироваться от 0 до 1. Самому важному, с точки зрения эксперта, показателю присваивается вес 1, остальным — значения меньше 1. В пределе важность показателя равна 0, если он не учитывается.
4).Определение качества реализации показателей (проводится при вводе в действие АС, компонентов АС в процессе эксплуатации).
У каждого из экспертов есть свое представление, каким образом должно быть реализовано то или иное требование в системе. Если с точки зрения эксперта механизм защиты реализован адекватно требованию, то считается, что коэффициент качества реализации показателя ki=1, если реализация не соответствует требованию, значения коэффициента принимается за ki=0. При частичном соответствии эксперт определяет значение ki в промежутке от 0 до 1.
В итоге, по известным аналитическим зависимостям (пример, см. в разделе 4.3) находим оценку показателя W.
3.6. Применение критериев оценки риска в модели обеспечения ИБ
Обоснование выбора методов и средств обеспечения защиты информации, а также разработка соответствующих методик оценки уровня защищенности, рациональной структуры СЗИ и др. могут быть основаны на общепринятой идеологии минимизации общего потенциального ущерба от компрометации, утраты или искажения информации при наличии ограничений на расходы по реализации требуемых защитных мероприятий. Определение концептуальных подходов решения задачи на основе методологии анализа информационных рисков приведено в отчете /22/.
Методология минимизации ущерба применима в МОИБ комплексов городского хозяйства и территориального управления Москвы, где решены задачи определения и оценки ценности защищаемых информационных ресурсов с учетом требований организационного обеспечения ИБ раздела 1.
Суть работы по управлению рисками состоит в том, чтобы оценить их размер, выработать меры по уменьшению этого размера и затем убедиться, что риски заключены в приемлемые рамки. Таким образом, управление рисками включает в себя два вида деятельности:
— оценку (измерение) рисков;
— выбор эффективных и экономичных защитных механизмов.
Пример алгоритма оценки информационных рисков приведен на
рис. 3.1.
Управление рисками — процесс итерационный. Практически все его этапы связаны между собой, и по завершении почти любого из них может выявиться необходимость возврата к предыдущему. Так, при идентификации предмета защиты может появиться понимание, что выбранные границы анализа следует расширить, а степень детализации — увеличить. Особенно труден первичный анализ, когда многократные возвраты к началу неизбежны.
В качестве необходимого инструментария обеспечения функции управления информационными рисками в комплексах городского хозяйства Москвы должны использоваться системы поддержки принятия решений (экспертные системы) и системы моделирования. Средства СЗИ включающие данный инструментарий предназначаются для должностных лиц органов власти города, ответственных за планирование обеспечения ИБ.
Рис. 3.1 Алгоритм формирования оценки информационных рисков
Для реализации принципов минимизации рисков на уровне администраторов безопасности следует применять автоматизированные средства контроля и исследования защищенности АС (выполнения нормативов политики безопасности, тестирования и анализа защищенности). В целях минимизации рисков реализации сетевых атак часть средств контроля защищенности должна работать в режиме реального времени под управлением оператора Центра мониторинга событий информационной безопасности ИСиР.
4. Рекомендации по определению уровня ИБ
4.1. Программирование уровня ИБ
Уровень ИБ определяется совокупностью предъявляемых и реализованных требований по защите ИСиР, которые устанавливаются адекватно задачам обеспечения ИБ с использованием как ряда общенаучных методов, связанных с оптимизацией плановых решений, так и моделей ИБ настоящих Методических рекомендаций. Наиболее приемлемыми методами оптимизации плановых решений для целей программирования необходимого уровня ИБ АС являются:
— — метод последовательных приближений, суть которого состоит в определении общей задачи, а затем последовательное определение задач второго порядка, детализация которых приводит к нахождению задач третьего порядка и т.д. Метод применим при разработке требований ИБ их композиции и декомпозиции;
— балансовый метод, который позволяет осуществлять согласованность целей с имеющимися ресурсами. Его сущность в удовлетворении потребностей задач обеспечения ИБ, исходя из наличных возможностей;
— метод вариантов, заключающийся в разработке нескольких вариантов плановых решений и выборе наилучшего из них.
Достаточность уровня ИБ для конкретной АС определяет ее владелец в ходе планирования задач выполнения требований ИБ.
На современном уровне информатизации органов исполнительной власти города Москвы применение методов оптимизации плановых решений обуславливает реализацию планов обеспечения ИБ ИСиР основанных на двухуровневой МОИБ, формализующей способы достижения необходимого — рационального уровня ИБ, который характерен для большинства объектов информатизации Правительства Москвы.
В соответствии с МОИБ все ИСиР должны быть разбиты на две части, к первой из которых отнесены АС, содержащие конфиденциальную информацию, а ко второй – все остальные АС.
В основу метода определения необходимого уровня ИБ положены принципы минимальной достаточности, дискретности, выраженные в установлении, в зависимости от действующих ограничений (категория информации и др.), пороговых — базовых уровней защиты ИСиР и возможности их наращивания по требованию заказчика.
Оценка базовых уровней ИБ определяется по требованиям /18/ с использованием показателей WБОИ (показатель уровня защищенности базового открытой информации) и WБКИ (показатель уровня защищенности базового конфиденциальной информации). Требования ИБ для оценки показателей базового уровня приведены в приложении 4.
Владелец ИСиР может усилить защиту, включив в состав мер определяющих показатель WБi , дополнительные требованиями по ИБ. При этом в процессе формирования необходимого уровня ИБ следует учитывать следующие факторы:
— характер обрабатываемой информации (ограничение доступа, объем и интенсивность обработки информации);
— технологические особенности информации (структурированность, стабильность, масштаб обработки);
— характеристики АС (вычислительные мощности, территориальная распределенность, структурированность компонентов);
— условия функционирования АС (компактность расположения, обустроенность);
— организация работы АС (выполнение нормативов на создание и применение, укомплектованность кадрами и документацией, уровень подготовки и дисциплины персонала).
Моделирование процессов обеспечения ИБ на объекте информатизации дает владельцу ИСиР более точное представление о достаточном уровне ИБ, способах достижения базового уровня и целесообразности его наращивания на основании специфики моделей угроз и имеющихся ресурсов на создание защиты АС адекватной действующему полю угроз.
В результате программирования уровня ИБ на основании МОИБ и методик оценки класса защищенности, описанных в настоящем разделе, могут формироваться классы АС соответствующие требованиям базового уровня ИБ ИСиР.
4.2. Способ определения и оценки класса защищенности объекта защиты от НСД по модели обеспечения ИБ
Рассматриваемая ниже методология представляет собой один из способов определения уровня защищенности объектов защиты с использованием частных показателей защищенности АС модели обеспечения ИБ.
Способ определения нашел применение при создании информационных систем и ресурсов города Москвы, содержащих сведения конфиденциального характера и аттестуемых по классу защищенности «1Г». Порядок оценки включает:
— установление соответствия объекта защиты одному из классов защищенности АС, приведенных в разделе 3.5;
— экспертную оценку удовлетворения контролируемого объекта защиты требованиям к установленному классу АС;
— формальное оценивание уровня защищенности объекта защиты ИСиР;
— оформление результатов.
В соответствии с руководящим документом /25/ по классу защищенности «1Г» предъявляются требования к трем типовым подсистемам, включенным в модели защиты (раздел 3.4.): управления доступом, регистрации и учета и обеспечения целостности в соответствии с таблицей 3.2, приведенной ниже.
Экспертное оценивание выполнения для объекта защиты требований по классу «1Г» включает:
— проведение оценки выполнения требований к подсистеме управления доступом;
— проведение оценки выполнения требований к подсистеме регистрации и учета;
— проведение оценки выполнения требований к подсистеме обеспечения целостности.
Результаты оценки выполнения для объекта защиты требований по типовым подсистемам защиты сводятся в таблицу. Наличие «единицы» в колонке таблицы с оценкой частного показателя wi свидетельствует о выполнении для оцениваемого объекта защиты соответствующего требования по установленному классу защищенности. При не выполнении контролируемого требования показателю присваивается нулевое значение.
Требования ИБ к системе защиты информации по классу защищенности «1Г»
Таблица 3.2
Наименование оценок, проверок и требований к подсистемам защиты информации от НСД(по классу защищенности «1Г») | Пункт р. 3.4. Методических положений |
Определение требований к подсистеме управления доступом | А) |
Определение требований к подсистеме регистрации и учета | Б) |
Определение требований к подсистеме обеспечения целостности | Г) |
Далее выполняется расчет величины уровня защищенности методом, приведенным в разделе 3.5, и определяют соответствие полученной оценки заданному уровню (классу АС). В случае выполнения всех требований ИБ по заданному классу защищенности АС расчетная величина уровня защищенности должна соответствовать этом классу АС. Тогда все n оценок показателей (требований) должны быть положительны, т.е. сумма всех наблюдаемых значений частного показателя нейтрализации угроз равна n, а уровень защищенности объекта защиты достигнут. Если полученное число меньше n, то это свидетельствует о несоответствии оцениваемого объекта защиты требуемому классу защищенности от НСД.
Оценка соответствия требованиям по классу защищенности «1Г» (значение n=15) представлена в таблице 3.3.
Таблица 3.3
Подсистемы и требования по классу «1Г» | Значение показателя wi |
1. Подсистема управления доступом | |
1.1.Идентификация, проверка подлинности и контроль доступа субъектов:в системук терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМк программамк томам, каталогам, файлам, записям, полям записей | 1111 |
2. Подсистема регистрации и учета | |
2.1.Регистрация и учет:входа (выхода) субъектов доступа в (из) систему (узел связи)выдачи печатных (графических) выходных документовзапуска (завершения) программ и процессов (заданий, задач)доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связидоступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, полям записей | 11111 |
2.2. Учет носителей информации | 1 |
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | 1 |
3. Подсистема обеспечения целостности | |
3.1.Обеспечение целостности программных средств и обрабатываемой информации | 1 |
3.2.Физическая охрана средств вычислительной техники и носителей информации | 1 |
3.3.Периодическое тестирование СЗИ НСД | 1 |
3.4.Наличие средств восстановления СЗИ НСД | 1 |
По результатам оценки класса защиты объекта защиты от НСД составляется отчетный документ о классификации защищенности данного объекта защиты.
4.3. Определение уровня информационной безопасности АС с использованием общих и частных показателей ИБ
Рассмотрим численный метод определения уровня ИБ АС с использованием общих и частных показателей нейтрализации угроз модели обеспечения ИБ. Определение уровня ИБ по показателям нейтрализации угроз МОИБ основано на методических рекомендациях раздела 3. Обобщенный показатель нейтрализации угроз W представляют в виде вектора частных показателей нейтрализации угроз wi. В соответствии с разделом 3.5 векторный показатель W формируют таким образом, что каждому показателю wi ставится в соответствие единственная угроза из перечня типовых угроз приложения 3. Проводят ранжирование угроз по функциональным требованиям к СЗИ модели защиты, приведенной в разделе 3.4.
Вектор wi для большого класса АС определяют на основе данных приложения 3 из следующей совокупности описаний угроз [1]:
Несанкционированный доступ к АС (8).
Отказ в доступе (5).
Несанкционированный доступ к ресурсам АС (11).
Неправильная установка прав и привилегий пользователей (15).
Несанкционированный доступ к коммуникационному оборудованию (9).
Несанкционированная передача информации во внешние сети (24).
Несанкционированный доступ к узлам локальной сети (10).
Перехват и искажение информации во внешних каналах связи (13).
Использование вспомогательных и излишних протоколов (12).
Отсутствие надзора за состоянием безопасности (16).
Отсутствие оперативного обнаружения атак (17).
Отсутствие и недостатки регистрации (18).
Отсутствие анализа системных журналов (19).
Нарушение конфиденциальности данных (25).
Перехват сетевого трафика (26).
Отсутствие проверки целостности средств безопасности при доставке и установке (20).
Неправильное администрирование и функционирование средств безопасности (21).
Нарушение целостности и ошибки средств безопасности (22).
Несанкционированная модификация данных и программ (6).
Подделка сетевого трафика (14).
Отказ средств сохранности и защиты информации (2).
Отсутствие контроля эффективности средств безопасности (23).
Отказ (сбой, ошибки) средств информатизации (1).
Отсутствие проверки правильного функционирования технических и программных средств, целостности баз данных (файлов) АС и отсутствие адекватной организации их восстановления (3).
Отсутствие проверки целостности программных средств при доставке и установке (4).
Физические атаки на средства защиты информации (7).
При этом индекс частного показателя i однозначно должен соответствовать описанию угрозы. К примеру, частный показатель w7 определяется как показатель нейтрализации несанкционированного доступа к узлам локальной сети.
Рассмотрим порядок экспертной оценки уровня ИБ для АС первого вида из раздела 3.3. В начале, из отранжированной совокупности угроз следует выбрать только значимые угрозы, а из приложения 4 требования по их нейтрализации. Например, для ЛВС не существуют угрозы, характерные при межрегиональной передаче информации. Для автономной ПЭВМ не существуют угрозы, связанные с обменом информации между узлами. В системе передачи данных не существуют угрозы, связанные со спецификой локальных функций операционных систем.
Для рассматриваемой АС не значимыми экспертом признаны угрозы (25), (26) и (7) из приложения 3.
Далее угрозы индексируют, разбивают на группы и подгруппы по рангам и функциональным признакам СЗИ. Пусть результаты нашего примера экспертом сведены в итоговый массив, разбитый на две группы и три подгруппы. Тогда для оценивания уровня ИБ АС будет использован показатель wi, где i=1–23, значения индекса которого i). должны соответствовать последовательности описаний угроз.
Группа А – это показатели w1 — w13. В нее включаем две подгруппы.
Первая подгруппа (1) – это групповые показатели w1 — w9, относящиеся к нейтрализации средствами контроля доступа следующих описаний угроз:
1. Несанкционированный доступ к АС.
2. Отказ в доступе.
3. Несанкционированный доступ к ресурсам АС.
4. Неправильная установка прав и привилегий пользователей.
5. Несанкционированный доступ к коммуникационному оборудованию.
6. Несанкционированная передача информации во внешние сети.
7. Несанкционированный доступ к узлам локальной сети.
8. Перехват и искажение информации во внешних каналах связи.
9. Использование вспомогательных и излишних протоколов.
Вторая подгруппа (2) – это групповые показатели w10 — w13, относящиеся к нейтрализации средствами регистрации следующих описаний угроз:
10. Отсутствие надзора за состоянием безопасности.
11. Отсутствие оперативного обнаружения атак.
12. Отсутствие и недостатки регистрации.
13. Отсутствие анализа системных журналов.
Группа Б – это показатели w14 — w23 – третья подгруппа (3), т.е. групповые показатели w14 — w23, относящиеся к нейтрализации средствами обеспечения целостности следующих описаний угроз:
14. Отсутствие проверки целостности средств безопасности при доставке и установке.
15. Неправильное администрирование и функционирование средств безопасности.
16. Нарушение целостности и ошибки средств безопасности.
17. Несанкционированная модификация данных и программ.
18. Подделка сетевого трафика.
19. Отказ средств сохранности и защиты информации.
20. Отсутствие контроля эффективности средств безопасности.
21. Отказ (сбой, ошибки) средств информатизации.
22. Отсутствие проверки правильного функционирования технических и программных средств, целостности баз данных (файлов) АС и отсутствие адекватной организации их восстановления.
23. Отсутствие проверки целостности программных средств при доставке и установке.
Последовательность дальнейших работ для проведения оценки уровня ИБ АС включает.
1.Оценку важности групповых и частных показателей методом обработки их строгих ранжировок.
2.Оценку степени допустимой компенсации ухудшения значений одних показателей за счет улучшения значений других – сначала для групповых показателей, затем – для всех остальных по иерархии групповых показателей.
Подгруппы (1) и (2) объединены в группу А, которая рангом выше группы Б, в которую входят подгруппа (3). Компенсация между А и Б считается недопустимой.
3.Порядок ранжирования. Определяют следующий порядок ранжирования и степень компенсации:
— внутри группы А порядок ранжирования подгрупп – (1), (2), а компенсация между группами слабая;
— внутри группы Б порядок ранжирования не требуется;
— внутри подгруппы (1) порядок ранжирования между показателями w1—w9 – 1,3,7,5,6,8,4,9,2, а компенсация между показателями слабая;
— внутри подгруппы (2) порядок ранжирования между показателями w10—w13 – 10,13,11,12, а компенсация между показателями слабая;
— внутри подгруппы (3) порядок ранжирования между показателями w14—w23 – 16,17,18,15,19,21,20,14,22,23, а компенсация между показателями затруднительна.
Принятые ранжировки и степени компенсации могут пересматриваться при следующей оценке для более правильного отражения действительности.
4.Формализацию полученной по п.п. 1 — 3 информации для представления информационно-семантической компенсационной структуры обобщенного показателя W для рассматриваемой задачи.
5.Оценку чувствительность показателя W к изменению значения каждого частного показателя wi с лучшего на худшее и группировку частных показателей по степени их влияния на обобщенный показатель.
Непосредственная оценка уровня ИБ АС имеет следующий алгоритм (см. раздел.3.5):
— определяется важность показателей G1,…Gn;
— определяется качество реализации показателей нейтрализации угроз k1…,kn;
— определяется матрица коэффициентов взаимного влияния V (см. табл. 3.1);
— определяется оценка уровня ИБ АС по следующей зависимости:
n n
W= S S wiVijkiGi, где wi=0,1; Vij=0-1; ki=0-1; Gi=0-1.
i=1 j=1
По полученным результатам управляющий орган МОИБ вырабатывает управляющее воздействие на СЗИ с учетом имеющихся ресурсов (финансовых, технических, временных и т.п.).
5. Рекомендации по заданию требований по уровню ИБ
Задание уровня ИБ АС представляется как совокупность программных мероприятий, т.е. алгоритм задания регламентируется заданными требованиями.
Задание требований по уровню ИБ проводится в целях формирования и реализации проектных решений по защите ИСиР, выявления уязвимостей, определения текущего уровня ИБ, контроля его соответствия заданному и выработки на основе оценок рекомендаций по состоянию и совершенствованию СЗИ.
В зависимости от состава (категории) информации и потенциальных угроз для определения требуемых мероприятий по защите информации, а также для минимизации затрат на защиту информации установлено /18/ два уровня информационной безопасности АС:
1) Базовый уровень информационной безопасности АС.
2) Уровень информационной безопасности АС для конфиденциальной информации.
Основу требований базового уровня информационной безопасности АС должны составлять квалификационные минимумы требований к видам обеспечения ИБ (см. разделы 1.1.- 1.3.). С учетом последних и требований приложения 3 по методике раздела 4.2 задается уровень информационной безопасности АС для конфиденциальной информации.
Задание требуемого уровня ИБ включает:
— определение перечня угроз информационной безопасности;
— определение модели нарушителя;
— определение требований к способам и механизмам защиты от угроз и действий нарушителя;
— определение состава работ по созданию СЗИ;
— формирование способа оценки достигнутого уровня ИБ.
Основой для задания требуемого уровня ИБ является информация и результаты работ, выполненные на предыдущих этапах формирования требований по обеспечению ИБ.
Задание требуемого уровня ИБ оформляется установленным порядком в составе проектной документации ИСиР.
6. Рекомендации по способам формирования и контроля уровня защиты ИСиР
6.1. Рекомендации по формированию состава мер обеспечения ИБ
В настоящем разделе предложен подход по формированию состава мер обеспечения ИБ для одного вида АС, определенного в разделе 3.3, с использованием результатов моделирования значимых угроз, если анализируемая мера будет применена. При выборе мероприятий также должны учитываться структурное представление и требования к СЗИ, определенные моделью защиты (раздел 3.4).
При планировании мероприятий следует учитывать характер мер защиты, которые можно разделить на превентивные и восстановительные. Превентивные меры противодействия угрозам безопасности на объектах информатизации организаций, предприятий и органов власти г. Москвы должны осуществляться на основе эффективного применения в процессе эксплуатации АС комплекса организационных, технических и технологических мероприятий, а также методов и средств обеспечения функциональной устойчивости и безопасной работы информационных систем.
Требования по формированию восстановительных мер определяются системой документов, разрабатываемых с учетом соответствующих положений раздела 1.3. и должны отражать специфику организации – владельца АС и ее возможности по заблаговременной подготовке к возможным нарушениям, угрожающим штатному функционирования системы, имеющиеся средства для восстановления работоспособности АС.
В таблице 6.1 приведен состав мер противодействия значимым угрозам, характерным для многих АС органов власти города Москвы, и описанным в разделах 3, 4 подходам применения модели обеспечения ИБ для формирования базового уровня ИБ АС.
Состав превентивных и восстановительных мер нейтрализации значимых угроз типовой АС
Таблица 6.1
Угрозы, связанные с применением технических средств автоматизации | |
Физическое повреждение аппаратных средств | Превентивные меры:обеспечение охраны аппаратных средств;обеспечение адекватного резерва критичных аппаратных средств;обеспечение периодического копирования информации;Восстановительные меры:замена поврежденных аппаратных средств;восстановление программного обеспечения (если необходимо);восстановление информационного обеспечения (если необходимо);восстановление вычислительного процесса (если необходимо); |
Физическое повреждение линий связи | Превентивные меры:дублирование линий связи;наличие альтернативных линий связи;обеспечение охраны линий связи;Восстановительные меры:замена поврежденных линий связи; |
Перебои в системе электропитания | Превентивные меры:использование блоков бесперебойного питания;использование резервного автономного источника питания;Восстановительные меры:Восстановление вычислительного процесса (если необходимо); |
Отказы аппаратных средств | Превентивные меры:“горячее” и “холодное” резервирование аппаратных средств;регулярное проведение регламентных работ;наличие соответствующих средств диагностики;ежедневное тестирование аппаратных средств;Восстановительные меры:обнаружение и устранение неисправностей; |
Установка непроверенных аппаратных средств или замена вышедших из строя аппаратных компонент системы на не идентичные компоненты | Превентивные меры:организационно-технические мероприятия, направленные на регламентирование процедур включения, замены и модификации технических средств в системе, а также при их закупке, проверке работоспособности, хранении на складе;Восстановительные меры:обнаружение и устранение неисправностей; |
Отсутствие контроля за снятыми с системы (не уничтоженными) вышедшими из строя долговременными запоминающими устройствами (ЖМД) с записанной на них конфиденциальной и/или ключевой информацией | Превентивные меры:регламентация хранения, списания и уничтожения носителей информации, содержащих критичную информацию;хранение ключевой и прикладной информации в защищенном (зашифрованном) виде; |
Угрозы, связанные с использованием программного обеспечения | |
Ошибки в программном обеспечении | Превентивные меры:тестирование программного обеспечения разработчиками;тестирование программного обеспечения независимыми экспертами;наличие периода опытной эксплуатации системы;сертификация программного обеспечения на соответствие техническим условиям и на отсутствие недекларированных возможностей;получение и хранение эталонных исходных текстов и загрузочных модулей;получение и хранение конструкторской и эксплуатационной документации на программное изделие;регламентирование процедур ввода в эксплуатацию, модификации и замены программного обеспечения в действующую систему;контроль целостности файлов;отслеживание выхода новых «патчей» и обновление ПО;Восстановительные меры:обнаружение и исправление ошибки;модификация ПО системы;тестирование модифицированного ПО и системы в целом; |
Анализ и модификация программного обеспечения | Превентивные меры:контроль целостности системы;ограничение доступа к репозитарию программного обеспечения (исходным текстам программ и загрузочным модулям);контроль НСД;удаление из действующей системы всех средств отладки и любых других программ, которые могут использоваться как инструментарий для анализа ПО. Разделение вычислительных сетей, предназначенных для разработки ПО и сетей действующей АС;регламентация установки, модификации и замены ПО в действующей АС;анализ журналов регистрации; |
Наличие в программном обеспечении “закладок” и “троянских коней”, “задних дверей” | Превентивные меры:контроль целостности системы;проверка благонадежности программистов-разработчиков;организация надлежащего хранения и контроля допуска к исходным текстам программ, средствам программирования и отладки;тестирование ПО независимыми экспертами;проведение опытной эксплуатациисертификация программного обеспечения на соответствие техническим условиям и на отсутствие недекларированных возможностей;постоянный антивирусный контроль;использование сканеров безопасности;закрытие лишних портов;анализ журналов регистрации; |
Атаки программных вирусов | Превентивные меры:создание закрытой среды функционирования ПО системы;контроль целостности ПО;контроль наличия в ОП неизвестных программ;контроль доступа к системе;регулярное тестирование ПО антивирусными программами;использование лицензионного программного обеспечения;Восстановительные меры:наличие дистрибутивов системного ПО для восстановления системы;наличие резервных копий информационного обеспечения системы для восстановления;переформатирование магнитных носителей; |
Угрозы, связанные с нарушением технологического процесса обмена данными | |
Отказ от авторства сообщения | Превентивные меры:аутентификация пользователей и электронных сообщений;использование криптографических механизмов электронной цифровой подписи;регистрация и архивация входящих и исходящих сообщений;использование механизмов автоматического квитирования получения сообщений и документов;закрытие системы от использования внешних программ, позволяющих модифицировать полученные сообщения;создание группы разбора конфликтных ситуаций и регламентация процедуры установления и доказательства авторства; |
Отказ от факта получения сообщения | — » — |
Подмена принятого сообщения | — » — плюс шифрование сообщения |
Имитация принятого сообщения | — » — плюс шифрование сообщения |
Подмена передаваемого сообщения | — » — плюс шифрование сообщения |
Имитация передаваемого сообщения | — » — плюс шифрование сообщения |
Нарушение целостности потока сообщений | Превентивные меры:организация нумерации сообщений и контроль непрерывности номеров;регистрация и архивация входящих и исходящих сообщений; |
Угрозы безопасности со стороны персонала | |
Несанкционированное получение и использование привилегий | Превентивные меры:контроль НСД;активный аудит;регистрация всех действий пользователей;анализ журналов регистрации работы системы;контроль сотрудниками службы безопасности соответствия установленных полномочий и их использования;закрепление за разными категориями пользователей конкретных рабочих мест;строгая регламентация функций назначения, внесения и изменения полномочий;Восстановительные меры:восстановление настроек средств защиты;изменение паролей и ключей; |
Несанкционированный доступ к наборам данных других участников | — » — |
Несанкционированный доступ к базам данных, архивам | — » — |
Выполнение действий одним участником от имени другого | — » — |
Прерывание процесса передачи и обработки информации | Превентивные меры:“горячее” и “холодное” резервирование технических средств и каналов связи;реализация возможности автоотката для восстановления вычислительного процесса;дублирование входящей в систему информации и результатов промежуточных расчетов;Восстановительные меры:восстановление неисправных технических средств или подключение резервных;восстановление информации и вычислительного процесса; |
Разглашение реализации программной защиты | Превентивные меры:организация надлежащего хранения и доступа к технической документации и программным средствам защиты;периодическое изменение паролей и ключей;Восстановительные меры:изменение всех возможных настраиваемых параметров защиты;изменение ключей, паролей, регистрационных номеров;внесение новых элементов в систему защиты;усиление контроля за работой системы защиты; |
Раскрытие, перехват, хищение кодов, ключей, паролей | Превентивные меры:контроль НСД;аутентификация;анализ журналов регистрации;Восстановительные меры:изменение паролей и ключей; |
Чтение остаточной информации в оперативной памяти и на магнитных носителях | Превентивные меры:ограничение доступа по работе с техническими средствами и магнитными носителями;ограничения на использование программных средств, не входящих в состав системы;регистрация и контроль действий пользователей при работе в системе; |
Ошибочный ввод данных | Превентивные меры:автоматический контроль ввода критичных данных;необходимость подтверждения ввода тех параметров сообщений, которые значительно отличаются от среднестатистических или не попадают в список разрешенных значений или разрешенный диапазон; |
Умышленная порча аппаратного и программного обеспечения | Превентивные меры:организация пропускного режима, видеонаблюдения и охраны доступа к системе;организация работы обслуживающего персонала по наблюдению за правильным использованием программных и технических средств; |
Хищение носителей информации, производственных отходов | Превентивные меры:организация пропускного режима и охраны системы;регламентация учета, хранения и выдачи носителей информации; |
Угрозы, связанные с попытками «взлома» системы безопасности | |
Взлом программной защиты | Превентивные меры:ограничение доступа к технической и эксплуатационной документации на средства защиты информации;использование административных мер защиты;постоянное совершенствование и модификация средств защиты;ограничение количества попыток подключения к системе при неправильном вводе пароля;регистрация “неудачных” попыток подключения к системе и анализ регистрационных журналов;постоянный контроль и анализ работы системы защиты;периодическое изменение паролей и ключей;Восстановительные мерыликвидация последствий несанкционированных действий;изменение всех возможных настраиваемых параметров защиты;изменение паролей, ключей, регистрационных номеров;внесение новых элементов в систему защиты;усиление контроля за работой системы защиты;вычисление и отстранение от работы с системой “взломщика” защиты; |
Наблюдение за работой системы | Превентивные меры:ограничение доступа к системе;ограничение на использование программ, не входящих в состав системы;административные меры защиты; |
Использование сетевых анализаторов | Превентивные меры:административные меры защиты;использование сканеров безопасности;использование средств отражения атак в реальном масштабе времени;использование закрытого трафика сети;шифрование передаваемой информации;использование межсетевых экранов; |
Перехват информации на линиях связи | Превентивные меры:шифрование передаваемой информации |
Угрозы, связанные с естественными и природными факторами | |
Пожар и другие стихийные бедствия | Превентивные меры:организация противопожарной защиты;обучение персонала действиям в чрезвычайных ситуациях; |
Кража оборудования | Превентивные меры:организация охраны объектов;установка противокражного оборудования;административные меры; |
Диверсии | Превентивные меры:организация пропускного режима и охраны объектов;установка систем контроля проноса на объекты оружия, взрывчатых, химических, биологических, отравляющих и радиационных веществ;административные меры. |
6.2. Способ проверки организации защиты информационных ресурсов ИСиР на основе требований нормативного обеспечения ИБ
Проверка организации защиты АС органа исполнительной власти города Москвы должна производится на основе документов нормативного обеспечения ИБ, определенного разделом 1, включая документы, перечисленные в приложении 1. Оценка и проверка АС производится в следующем объеме:
а). Оценка достаточности представленных документов и соответствия их содержания требованиям по безопасности информации.
б). Оценка соответствия состава и структуры программно-технических средств АС представленной документации.
в). Оценка правильности классификации объектов информатизации АС.
г). Оценка правильности категорирования объектов вычислительной техники в составе АС.
д). Оценка наличия сертификатов соответствия на СВТ и средства защиты информации, экспертиза отчетов и протоколов по специальным исследованиям СВТ, предписаний на эксплуатацию СВТ.
е). Оценка порядка организации проведения работ по защите информации в процессе жизненного цикла АС согласно нормативным документам по защите информации, действующим в РФ.
Проверки защищаемой АС выполняют в следующей последовательности
а). Производится оценка достаточности и полноты представленных исходных данных, документов и соответствия их содержания требованиям стандартов и других нормативных документов по безопасности информации ФСТЭК России, ФАИТ, Правительства Москвы и иных органов государственного управления.
б). Состав и структура программно-технических средств АС, включенных в реальный технологический процесс обработки информации, сверяется с представленной документацией.
в). Оценивается правильность классификации АС (ее компонентов). Необходимыми исходными данными для проведения классификации конкретного объекта информатизации АС являются:
— перечень защищаемых информационных ресурсов и их уровень конфиденциальности;
— перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий к конфиденциальной информации;
— матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;
— режим обработки данных в АС — многопользовательский или однопользовательский;
— максимальный уровень конфиденциальности обрабатываемой информации.
В соответствии с разделом 3 проверяется классификация АС по указанным выше признакам. Класс защищенности АС оцениваемого объекта информатизации сравнивается с заданным.
г). Проверка уровня подготовки кадров и распределения ответственности производится на основе следующих показателей:
— экспертной оценки знания инструкций по безопасности информации пользователями АС и эксплуатационным персоналом;
— наличия разрешительной системы доступа персонала к защищаемым ресурсам АС, определяющей полномочия по доступу к конфиденциальной информации и процедуры их оформления, системы распределения ответственности персонала за выполнение требований по безопасности информации, оформленной приказами и распоряжениями руководителя объекта информатизации;
— экспертной оценки системы технической учебы и повышения квалификации персонала и пользователей АС.
Путем опроса персонала проверяется доведение до конкретных исполнителей руководящих документов, технологических инструкций, предписаний, актов, заключений и уровень овладения персоналом технологией безопасной обработки информации, описанной в этих инструкциях.
Уровень подготовки персонала должен быть оформлен документально на основании принятых зачетов.
д). Производится проверка наличия документов, подтверждающих возможность применения технических и программных средств ВТ, средств защиты для обработки конфиденциальной информации (сертификатов соответствия), экспертиза отчетов и протоколов по специальным исследованиям СВТ, предписаний на эксплуатацию СВТ, а также их соответствия требованиям нормативных документов.
е). Проверяется право на проведение работ со сведениями конфиденциального характера, на разработку средств защиты информации и осуществление мероприятий по ее защите, которое предоставляется организации в соответствии с действующим законодательством РФ.
Организация работ по защите информации должна возлагаться на руководителя организации – владельца АС и руководителей функциональных подразделений организации, эксплуатирующих объекты информатизации, а методическое руководство и контроль за обеспечением защиты информации — на руководителя подразделения по защите информации в организации.
В случае разработки СЗИ или ее отдельных компонентов специализированной организацией (предприятием), имеющей лицензию на этот вид деятельности, в подразделении организации, для которого осуществляется разработка системы, должны быть определены отдельные специалисты, ответственные за организацию и проведение (внедрение и эксплуатацию) мероприятий по защите информации в ходе выполнения работ с использованием защищаемых сведений.
Порядок организации на предприятии работ по созданию и эксплуатации АС и ее СЗИ должен определяться в в соответствующем нормативном документе организации. Данный документ должен определять:
— подразделения и отдельных специалистов, в т.ч. специализированных организаций, участвующих в разработке и эксплуатации СЗИ, их задачи и функции на различных стадиях создания и эксплуатации СЗИ;
— вопросы взаимодействия всех занятых в этой работе функциональных подразделений организации и специалистов;
— ответственность должностных лиц за своевременность и качество постановки требований по защите информации, за качество и научно-технический уровень разработки СЗИ.
Проверяется порядок привлечения исполнителей работ. Разработка и внедрение СЗИ должна осуществляться во взаимодействии разработчика с подразделением по защите информации, которое осуществляет в организации методическое руководство и участие в разработке конкретных требований по защите информации, аналитического (технико-экономического) обоснования необходимости создания СЗИ, согласование выбора средств вычислительной техники и связи, технических и программных средств защиты, организацию работ по выявлению возможностей и предупреждению утечки защищаемой информации, участие в согласовании технических заданий на проведение работ по защите информации, в аттестации объектов информатизации по требованиям безопасности информации.
В ходе оценок проверяется выполнения требований к технологии создания и применения систем защиты на основе модели жизненного цикла АС (приведены в разделе 1.2).
По предпроектной стадии контролируется выполнение:
— обследования объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания по сохранности и защите банковской информации;
— разработки проектов, включая разработку СЗИ в составе системы или иного объекта информатизации;
— ввода в действие СЗИ, включая опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации, а также аттестацию объекта информатизации на соответствие установленным требованиям.
В ходе обследованию объекта информатизации должно быть:
— установлена необходимость обработки конфиденциальной информации в системе (на ином объекте) информатизации, оценена ее степень конфиденциальности и объемы;
— определены режимы обработки этой информации, общесистемные программные средства, предполагаемые к использованию в разрабатываемой системе информатизации;
— определен класс защищенности объекта информатизации;
— определена степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер его взаимодействия между собой и с подразделением по защите информации;
— оценена возможность использования имеющихся на рынке сертифицированных средств защиты информации;
— определены мероприятия по обеспечению режима конфиденциальности на стадии разработки системы информатизации.
На основании рекомендаций разделов 3, 4 контролируется класс защищенности АС, его задание в ТЗ (ЧТЗ) на разработку АС и СЗИ. Проверяется наличие аналитического обоснования необходимости создания СЗИ по результатам предпроектного обследования. Наличие защищаемой информации и оценки ее степени конфиденциальности должны базироваться только на документально оформленных перечнях защищаемых сведений.
Следует учитывать, что предпроектное обследование может быть поручено специализированной организации, которая должна иметь лицензию на деятельность в области информационной безопасности, но и в этом случае анализ информационного обеспечения в части защиты информации целесообразно выполнять подразделению по защите информации (заказчику) при методической помощи специализированной организации.
При проверке проектной документации следует оценить наличие в техническом (частном техническом) задании на разработку СЗИ следующего содержания:
— обоснование разработки;
— исходные данные создаваемой системы или иного объекта информатизации, в техническом, программном, информационном и организационном аспектах;
— категорию объекта (отдельных технических средств и систем) информатизации;
— класс защищенности объекта (системы) информатизации;
— ссылку на государственные нормативные документы и документы Правительства Москвы, с учетом которых будет разрабатываться СЗИ и аттестоваться объект информатизации;
— конкретизацию требований к СЗИ на основе государственных нормативных документов и установленных категории и класса защищенности;
— перечень предполагаемых к использованию сертифицированных средств защиты информации;
— обоснование проведения разработок собственных средств защиты информации, невозможности или нецелесообразности использования имеющихся на рынке сертифицированных средств защиты информации;
— состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗИ;
— перечень подрядных организаций-исполнителей по видам работ;
— перечень предъявляемой заказчику научно-технической продукции и документации.
— ТЗ (ЧТЗ) на разработку СЗИ подписывается разработчиком системы (объекта информатизации), согласовывается с подразделением по защите информации, подрядными организациями и утверждается руководителем организации (Заказчиком).
Проектная документация на СЗИ АС должна включать следующие документы по информационной безопасности:
— руководство пользователя;
— руководство администратора СЗИ;
— тестовая и инструктивно-методическая документация;
— конструкторская (проектная) документация.
Общие требования к оформлению проектных решений на АС в целом и ее отдельных компонент должны соответствовать РД 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».
При оценке работ этапа ввод АС в эксплуатацию в целом и ее составных компонент, включая систему защиты информации, необходимо проверить соответствии результатов испытаний и их оформление требованиям ГОСТ 34.603-92 «Информационная технология. Виды испытаний автоматизированных систем».
Ввод АС в промышленную эксплуатацию, а также ее составных частей должен оформляться документально — приказами начальника организации – владельца АС.
По вышеизложенным результатам оценок и проверок системы защиты информации АС на основе анализа организационных и нормативно-методических документов, действующих в Российской Федерации, должны быть сделаны выводы (составлен акт или протокол) о соответствии (или несоответствии) предъявленных документов и исходных данных установленным требованиям по безопасности информации на объектах информатизации АС и соответствии уровня организационного обеспечения ИБ установленному настоящим документом.
Приложения
П1.1. Свод задач государственной политики обеспечения информационной безопасности города Москва
Задачи обеспечения ИБ открытых и конфиденциальных информационных ресурсов города Москвы определены в нормативно-правовых документах в области ИБ России, Центрального федерального округа РФ, города Москвы, как субъекта РФ.
В соответствии с документами /1,2/ национальная безопасность, национальные интересы в информационной сфере требуют:
— обеспечения неукоснительного соблюдения законодательства Российской Федерации всеми гражданами, должностными лицами, государственными органами, политическими партиями, общественными и религиозными организациями;
— обеспечение конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
— своевременного прогнозирования и выявления внешних и внутренних угроз национальной безопасности Российской Федерации;
— обеспечения доступа граждан к открытым государственным информационным ресурсам;
— создания условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
— развития и совершенствования инфраструктуру единого информационного пространства Российской Федерации;
— расширения международного сотрудничества Российской Федерации в области развития и безопасного использования информационных ресурсов;
— противодействия угрозе развязывания противоборства в информационной сфере.
— реализации оперативных и долгосрочных мер по предупреждению и нейтрализации внутренних и внешних угроз;
— повышения безопасность информационных систем, включая сети связи, информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации;
— интенсификации развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью.
Приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации — совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, определены следующие задачи:
— создание организационно — правовых механизмов обеспечения информационной безопасности;
— определение правового статуса всех субъектов отношений в информационной сфере, включая пользователей информационных и телекоммуникационных систем;
— установление ответственности субъектов отношений за соблюдение законодательства Российской Федерации в информационной сфере;
— создание системы сбора и анализа данных об источниках угроз информационной безопасности Российской Федерации, а также о последствиях их осуществления;
— совершенствование системы подготовки кадров, используемых в области обеспечения информационной безопасности Российской Федерации.
В прямой постановке на всех рассмотренных уровнях госустройста (РФ, ЦФО, Москва) с разной степенью детализации определены следующие задачи обеспечения ИБ /2,3,4/
— разработка основных направлений государственной политики в области обеспечения информационной безопасности Российской Федерации;
— расширение взаимодействия с международными и зарубежными органами и организациями при решении научно — технических и правовых вопросов обеспечения безопасности информации, передаваемой с помощью международных телекоммуникационных систем и систем связи;
— разработка федеральных целевых программ обеспечения информационной безопасности Российской Федерации;
— разработка мероприятий и механизмов, связанных с реализацией государственной политики в области обеспечения информационной безопасности Российской Федерации;
— развитие и совершенствование системы обеспечения информационной безопасности Российской Федерации, реализующей единую государственную политику в этой области, включая совершенствование форм, методов и средств выявления, оценки и прогнозирования угроз информационной безопасности Российской Федерации, а также системы противодействия этим угрозам;
— формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства;
— развитие и совершенствование государственной системы защиты информации;
— развитие и совершенствование системы защиты информации Центрального федерального округа РФ как составной части государственной системы;
— создание комплексной системы защиты информации города Москвы и контроля эффективности принимаемых мер и средств защиты информации;
— совершенствование нормативной правовой базы обеспечения информационной безопасности Российской Федерации, включая механизмы реализации прав граждан на получение информации и доступ к ней, формы и способы реализации правовых норм, касающихся взаимодействия государства со средствами массовой информации;
— установление ответственности должностных лиц федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, органов местного самоуправления, юридических лиц и граждан за соблюдение требований информационной безопасности;
— совершенствование правового, нормативного, методического, научно-технического, организационного обеспечения защиты информации в Центральном федеральном округе РФ;
— создание нормативной правовой базы обеспечения информационной безопасности Москвы;
— унификация требований обеспечения информационной безопасности Москвы;
— разработка и реализация политики информационной безопасности Москвы;
— сертификация средств защиты информации;
— лицензирование деятельности в области защиты государственной тайны;
— стандартизация способов и средств защиты информации;
— совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
— создание единой системы подготовки кадров в области информационной безопасности и информационных технологий;
— развитие научно — практических основ обеспечения информационной безопасности Российской Федерации с учетом современной геополитической ситуации, условий политического и социально — экономического развития России и реальности угроз применения «информационного оружия»;
— организация фундаментальных и прокладных научных исследований в области обеспечения информационной безопасности;
— разработка современных методов защиты информации, обеспечения безопасности информационных технологий;
— разработка критериев и методов оценки эффективности систем и средств обеспечения информационной безопасности Российской Федерации;
— разработка критериев и методов сертификации систем и средств обеспечения информационной безопасности Российской Федерации;
— создание и развитие современной защищенной технологической основы управления государством в мирное время, в чрезвычайных ситуациях и в военное время;
— предотвращение несанкционированного доступа и специальных воздействий на защищаемую информацию в информационных системах органов власти и управления, организациях, находящихся в пределах ЦФО;
— обеспечение безопасности информации в системах управления и электронного документооборота органов власти и управления, организациях, находящихся в пределах ЦФО;
— обеспечение надежного функционирования информационных систем города Москвы и предоставляемых ими сервисов;
— создание механизмов своевременного выявления, прогнозирования, локализации и блокирования угроз безопасности, оперативного реагирования на проявления негативных тенденций в использовании информационных ресурсов и систем города Москвы;
>>
— разработка современных средств защиты информации, обеспечения безопасности информационных технологий;
— создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
— создание типовых технологий (систем) защиты информационных ресурсов и объектов информатизации организаций, предприятий и органов власти города Москвы, обеспечивающих установленные требования безопасности.
П1.2. Задачи обеспечения информационной безопасности организации – владельца ИСиР
На основании свода задач государственной политики обеспечения информационной безопасности города Москва формулируются следующие основные задачи обеспечения ИБ организации:
— определение владельца объекта защиты (ИСиР);
— выполнение категорирования информационных ресурсов, учитывая оптимальное с правовой и экономической точек зрения отнесение информации, подлежащей защите, к категории сведений служебного, коммерческого, профессионального характера и персональным данным;
— своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, ведущих к нарушению нормального функционирования и развитияИСиР;
— создание механизмов защиты ИСиР;
— создание механизма оперативного реагирования на угрозы информационной безопасности;
— эффективное пресечение незаконных посягательств на информационные ресурсы, технические средства и информационные технологии, а также использование в этих целях организационно-правовых и программно-технических мер и средств сохранности и защиты информации;
— создание условий для максимально возможного возмещения и локализации наносимого интересам владельца ИСиР и пользователям ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения информационной безопасности.
П.2. Документы правового нормативного обеспечения информационной безопасности
Федеральный закон от 20 февраля 1995 г. №24-ФЗ «Об информации, информатизации и защите информации».
Федеральный закон от 4 июля 1996 г. №85-ФЗ «Об участии в международном информационном обмене».
Федеральный закон от 16 февраля 1995 г. №15-ФЗ «О связи».
Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности».
Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи».
Указ Президента Российской Федерации от 19 февраля 1999 г. № 212 «Вопросы Государственной технической комиссии при Президенте Российской Федерации».
«Доктрина информационной безопасности Российской Федерации», утверждена Президентом Российской Федерации 9 сентября 2000 г. № Пр. 1895.
Указ Президента Российской Федерации от 17 декабря 1997 г. № 1300 «Концепция национальной безопасности Российской Федерации» в редакции Указа Президента Российской Федерации от 10 января 2000 г. №24.
Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера».
Указ Президента Российской Федерации от 6 октября 1998 г. № 1189 «О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена».
Постановление Правительства Российской Федерации от 3 ноября 1994 г. №1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти».
Постановление Правительства Российской Федерации от 11 февраля 2002 г. №135 «О лицензировании отдельных видов деятельности».
Постановление Правительства Российской Федерации от 30 апреля 2002 г. №290 «О лицензировании деятельности по технической защите конфиденциальной информации».
Постановление Правительства Российской Федерации от 27 мая 2002 г. №348 «Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации».
«Сборник руководящих документов по защите информации от несанкционированного доступа», Гостехкомиссия России, Москва, 1998 г.
«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», Москва, 2002 г.
ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения».
ГОСТ Р 51583-2000 « Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний».
ГОСТ 12.1.050-86 «Методы измерения шума на рабочих местах».
ГОСТ Р ИСО 7498-2-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации».
ГОСТ 2.114-95 «Единая система конструкторской документации. Технические условия».
ГОСТ 2.601-95 «Единая система конструкторской документации. Эксплуатационные документы».
ГОСТ 34.201-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем».
ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированных систем».
ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения».
РД Госстандарта СССР 50-682-89 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения».
РД Госстандарта СССР 50-34.698-90 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Автоматизированные системы. Требования к содержанию документов».
РД Госстандарта СССР 50-680-89 «Методические указания. Автоматизированные системы. Основные положения».
ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадия создания».
ГОСТ 6.38-90 «Система организационно-распорядительной документации. Требования к оформлению».
ГОСТ 6.10-84 «Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники, ЕСКД, ЕСПД и ЕСТД».
ГОСТ Р-92 «Система сертификации ГОСТ. Основные положения».
ГОСТ 28195-89 «Оценка качества программных средств. Общие положения».
ГОСТ Р ИСО\МЭК 9126-90 «Информационная технология. Оценка программной продукции. Характеристика качества и руководства по их применению».
ГОСТ 2.111-68 «Нормоконтроль».
ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации».
РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей», Москва, 1999 г.
РД Гостехкомиссии России «Средства защиты информации. Специальные общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам», Москва, 2000 г.
ГОСТ 13661-92 «Совместимость технических средств электромагнитная. Пассивные помехоподавляющие фильтры и элементы. Методы измерения вносимого затухания».
«Временная методика оценки защищенности основных технических средств и систем, предназначенных для обработки, хранения и (или) передачи по линиям связи конфиденциальной информации», Гостехкомиссия России, Москва, 2001 г.
«Временная методика оценки защищённости конфиденциальной информации, обрабатываемой основными техническими средствами и системами, от утечки за счёт наводок на вспомогательные технические средства и системы и их коммуникации», Гостехкомиссия России, Москва, 2001 г.
«Временная методика оценки защищенности речевой конфиденциальной информации от утечки по акустическому и виброакустическому каналам», Гостехкомиссия России, Москва, 2001 г.
«Временная методика оценки защищенности речевой конфиденциальной информации от утечки за счет электроакустических преобразований в вспомогательных технических средствах и системах», Гостехкомиссия России, Москва, 2001 г.
ГОСТ 29216-91 «Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний».
СанПиН 2.2.2.542-96 «Гигиенические требования к видеодисплейным терминалам, персональным электронно-вычислительным машинам и организация работы».
ГОСТ Р 50948-96. «Средства отображения информации индивидуального пользования. Общие эргономические требования и требования безопасности».
ГОСТ Р 50949-96 «Средства отображения информации индивидуального пользования. Методы измерений и оценки эргономических параметров и параметров безопасности».
ГОСТ Р 50923-96 «Рабочее место оператора. Общие эргономические требования и требования к производственной среде. Методы измерения».
ГОСТ 22505-83 «Радиопомехи индустриальные от приемников телевизионных и приемников радиовещательных частотно модулированных сигналов в диапазоне УКВ. Нормы и методы измерений».
ГОСТ Р 50628-93 «Совместимость электромагнитная машин электронных вычисли-тельных персональных. Устойчивость к электромагнитным помехам. Технические требования и методы испытаний».
ГОСТ Р 51319-99 «Совместимость технических средств электромагнитная. Радиопомехи индустриальные. Методы испытаний технических средств — источников индустриальных радиопомех».
ГОСТ Р 51320-99 «Совместимость технических средств электромагнитная. Приборы для измерения радиопомех. Технические требования и методы испытаний».
ПУЭ-76 «Правила устройства электроустановок».
П.3.1.Общий классификатор угроз безопасности информационно-коммуникационных технологий
№п/п | Классификационный признак угроз безопасности | Содержание классификатора |
1. | По источнику угроз | ВнешниеВнутренние |
2. | По цели воздействия | Нарушение конфиденциальностиНарушение целостностиНарушение доступностиНарушение штатного режима функционирования |
3. | По принципу воздействия | Использование существующих (штатных) каналов доступаИспользование скрытых каналов доступаФормирование новых каналов доступа |
4. | По способам воздействия | Нарушение структур данныхНарушение текстов, объектных и загрузочных кодов программНарушение функций общего программного обеспечения (ПО)Нарушение функций специального ПОНарушение протоколов обмена данными или искажение информации в каналах связи |
5. | По характеру воздействия | Активное воздействие (нарушение, разрушение, искажение)Пассивное воздействие (сбор информации, наблюдение, анализ)Интерактивный режим нарушителя с объектом (субъектом) доступаВоздействие при осуществлении информационно-вычислительного процесса обработки данных |
6. | По объектам и субъектам воздействия | ДепартаментыУправленияПодчиненные подразделенияВнешние абонентыОбслуживающий персоналЛица, принимающие решения в органах управления |
7. | По средствам воздействия | Несанкционированный доступ (НСД)Воздействие компьютерными вирусамиСпециальное программно-техническое воздействиеПроявление недекларированных возможностейИмитовоздействие на информациюПобочные электромагнитные излучения и наводкиСбои и отказы в программах и техническом оборудовании, ошибки оператора (проявление непреднамеренных дефектов) |
8. | По используемой ошибке | Ошибки в организационно-технических мероприятияхОшибки в проекте системы обеспечения безопасности информацииОшибки в выборе средств защиты информации (СЗИ) в соответствии с грифом защищаемой информации и характеристиками АСНедостаточное качество средств защитыОшибки в работе администратора локальной сети и администратора безопасности информацииОшибки в работе автоматизированных рабочих мест (АРМ)Ошибки и/или недекларированные возможности в алгоритмах и программахОшибки в структурах данных (использование избыточных, ложных или искаженных данных)Ошибки сертификационных испытаний |
9. | По состоянию нарушаемых технологических процессов | Сбор, прием, передача данных, обмен информацией по сетямОсуществление информационно-вычислительного процессаЗапись, считывание, хранение информации |
10. | По типу нарушения (нарушение конфиденциальности информации) | НесекретноДля служебного пользования, коммерческая тайна, персональные данные и др. (конфиденциальная информация) |
11. | По типу воздействия | ПрограммноеПрограммно-техническоеТехническоеПобочные электромагнитные излучения и наводки (радиоперехват и радиоэлектронное подавление) |
12. | По потенциальному ущербу | Низкий ущерб (несущественный, на уровне административных решений)Средний ущерб (требует материальных затрат)Высокий ущерб (значительный материальный ущерб)Катастрофический ущерб (ущерб на уровне затрат, приводящих к корректировке расходования бюджетных средств государства) |
13. | По соответствию требованиям к средствам защиты информации | Класс защищенности для автоматизированных систем (АС)Класс защищенности для средств вычислительной техники (СВТ)Класс защищенности для межсетевых экрановКласс защищенности для антивирусных средствКласс по контролю отсутствия недекларированных возможностей |
14. | По сценариям воздействия субъекта доступа | Внешний злоумышленникСанкционированный пользовательСанкционированный абонент удаленного доступаЗарегистрированный пользователь внешней системыАдминистратор АСАдминистратор безопасности информацииПрограммист — разработчик |
15. | По этапам жизненного цикла системы | Технологические угрозыЭксплуатационные угрозы |
16. | По характеру возникновения | Преднамеренные воздействияНепреднамеренные воздействия |
17. | По виду совершенного компьютерного преступления | Неправомерный доступ к компьютерной информацииСоздание, использование и распространение вредоносных программНарушение правил эксплуатации СВТ, АС |
П3.2. Типовые угрозы информационной безопасности АС
П3.2.1.Угрозы для всех категорий защищаемой информации
1. Неисправность (отказ, сбой, ошибка) средств информатизации
Вследствие неисправности (краха, отказа, сбоя, ошибки, наличия специальных закладок) аппаратных и/или программных средств, коммуникационного оборудования, каналов связи и носителей информации могут быть недоступны или потеряны данные (базы данных, файлы и программы), необходимые для функционирования АС, её отдельных подсистем, функциональных задач и отдельных АРМ.
Используемые средства и процедуры восстановления программных и технических средств, данных, а также их организация могут быть неадекватными или недостаточно эффективными для оперативного восстановления работоспособности АС и ёё элементов.
2. Отказ средств безопасности информации
При функционировании АС должна постоянно находится в безопасном состоянии, при котором правильно функционируют все средства сохранности и защиты информации. Такое безопасное состояние должно восстанавливаться в случае сбоя системы (отказа питания, краха, аварийного останова) или прерывания обслуживания.
Отказ (крах) системы может вызвать неадекватные механизмы восстановления при загрузке системы. Программы и объекты данных (базы данных) пользователей и регистрационная информация в системных журналах (аудита) могут быть изменены или потеряны при крахе системы вследствие разнообразных причин. При этом может быть также повреждено системное и прикладное программное обеспечение, включая данные средств безопасности информации.
3. Отсутствие проверки правильного функционирования технических и программных средств, целостности баз данных (файлов) АС и отсутствие адекватной организации их восстановления.
Несвоевременное выявление неправильного функционирования технических и программных средств, нарушение целостности и актуальности баз данных (файлов) по различным причинам при отсутствии оперативной адекватной реакции на такие события может вызвать нарушение функционированияАС.
4. Отсутствие проверки целостности программных средств при доставке и установке.
Системные и прикладные программные средства могут быть доставлены и установлены без предварительной проверки их работоспособности и целостности, что может привести к неправильному функционированиюАС, «вирусному» заражению, искажению и потере данных.
5. Отказ в доступе
АС является инструментом для совместного использования и передачи информации. Нарушение функциональностиАС может произойти, когда система не может выполнить свои функции в приемлемое время. Нарушение функциональности может приводить к прерыванию выполнения одной или нескольких функций (служб, сервисов). Возможный отказ в доступе к системе и ее ресурсам может произойти вследствие множества причин, как внутреннего, так и внешнего характера. Нарушители могут вмешаться в управление ресурсами системы и блокировать доступ к ее ресурсам, особенно таким, как каналы связи, дисковое пространство, память и загрузка процессора.
Причинами реализации данной угрозы могут быть, в частности, следующие недостатки:
— отсутствие обнаружения необычных видов трафика (например, намеренного переполнения какими-либо несанкционированными пакетами, а также специальных пакетов, характеризующие атаки на систему);
— невозможность перенаправить или блокировать трафик, справиться с отказами оборудования и т.п.;
— конфигурация АС, допускающая полный отказ из-за сбоя в одной точке;
— несанкционированные изменения компонент оборудования (изменение адресов рабочих станций, модификация конфигурации маршрутизаторов и мультиплексоров и т.п.), а также неправильное обслуживание аппаратных средств АС;
— недостаточная физическая безопасность оборудования АС.
6. Несанкционированная модификация данных и программ
Так как в АС пользователи могут использовать общие данные и прикладные программы, то необходимо контролировать все изменения таких ресурсов. Несанкционированные модификации данных и программ происходят, когда производятся несанкционированные изменения (дополнения, удаления, корректировки) файлов и программ. Когда необнаруженные модификации данных существуют продолжительное время, то изменённые данные могут распространяться по всей сети, возможно приводя к искажению баз данных, результатов вычислений и других различных прикладных данных. Без выявления изменений программных средств всё программное обеспечение становится подозрительным, требуя тщательной проверки (и возможно переустановки) всего соответствующего системного и прикладного программного обеспечения. Изменения могут быть произведены в простых программах (например, в командных файлах на рабочих станциях), в программных утилитах, используемых в многопользовательских системах, в главных прикладных программах или других типах программных средств. Такие изменения могут быть произведены несанкционированными посторонними лицами, а также теми, кому разрешено проводить изменения программ (хотя изменения, которые они осуществляют не санкционированы). Подобные изменения могут фальсифицировать или копировать информацию в другие места, разрушать данные при их обработке или блокировать доступность системы или различных прикладных подсистем (служб).
Программные «вирусы» могут досаждать любой организации, которая не предусмотрела для пользователей средств эффективного обнаружения и предотвращения внедрения «вирусов» в сети. Распространённые «вирусы» направлены, главным образом, на разрушение рабочих станций (ПЭВМ) и, в большинстве случаев, не разрушают сетевые серверы (хотя «вирусы» могут использовать серверы для заражения ПЭВМ-рабочих станций).
Причинами реализации данной угрозы могут быть, в частности, следующие недостатки:
— разрешение на запись предоставлено пользователям, которым требуется для доступа только чтение;
— произведены необнаруженные изменения программ, включая внедрение в них дополнительного кода для создания программ типа «троянский конь»;
— отсутствие криптографических контрольных сумм чувствительных данных;
— использование такого механизма распределения привилегий, который предоставляет не требующиеся права на запись;
— отсутствие защиты от «вирусов» и средств их обнаружения.
7. Физические атаки на средства сохранности и защиты информации
Средства сохранности и защиты информации могут быть подвержены физическим атакам, которые нарушат безопасность системы.
Безопасность может гарантироваться только в том случае, когда сами средства сохранности и защиты информации защищены от прямых физических атак. Это в свою очередь предполагает наличие соответствующих средств физической защиты для предотвращения возможных атак нарушителей получения непосредственного доступа к средствам сохранности и защиты информации или платформе, на которой они функционируют.
8. Несанкционированный доступ к системе
Нарушитель, имеющий или не имеющий физический доступ к АС и ее рабочим станциям (терминалам), может пытаться получить логический доступ к системе (АРМ) от имени законного пользователя путем кражи или подбора идентификатора и пароля для входа в систему (АРМ) и выполнять операции с её информацией, не имея на это право.
АС может подвергаться физическим атакам. При этом предполагается, что физические средства охраны оперативно сигнализируют службе безопасности о физическом присутствии нарушителей (посторонних) внутри контролируемой зоны (зон).
Причинами реализации данной угрозы могут быть, в частности, следующие недостатки:
— отсутствие или слабые методы идентификации и аутентификации;
— использование одних и тех же паролей для нескольких пользователей;
— плохая организация по ведению паролей или установка паролей, которые легко угадываются;
— использование общеизвестных «дыр» и неисправленных ошибок в системе;
— узлы сети, включающие локальный интерфейс в виде клавиатуры и дисплея (рабочие станции – РС, серверы, коммуникационное оборудование), не защищены паролем от загрузки;
— небрежное использование физических замков на оборудовании (РС, серверах, маршрутизаторах и т.п.);
— хранение паролей доступа в командных файлах;
— отсутствие контроля доступа к сетевым устройствам;
— использование незащищённых модемов;
— отсутствие временной задержки при неправильной (несанкционированной) попытке входа;
— отсутствие разъединения соединения при многократных неправильных попытках входа и их регистрации;
— отсутствие извещения администратора информационной безопасности (сигнализации) и регистрации даты/времени последнего успешного и неуспешного входа в систему;
— отсутствие проверки подлинности пользователей в реальном масштабе времени (с целью обнаружения «маскарада»).
9. Несанкционированный доступ к коммуникационному оборудованию.
Нарушитель, имеющий или не имеющий физический доступ к конечному активному коммуникационному оборудованию системы (маршрутизатору, межсетевому экрану), может пытаться получить логический доступ к нему от имени законного администратора путем кражи или подбора идентификатора и пароля для выполнения административных функций, направленных на блокирование защитных функций, не имея на это право.
При этом предполагается, что физические средства охраны оперативно сигнализируют службе безопасности о физическом присутствии нарушителей внутри контролируемой зоны, в которой размещается конечное коммуникационное оборудование.
Причины реализации данной угрозы аналогичны предыдущей угрозе.
10. Несанкционированный доступ к узлам локальной сети
Пользователи защищенных локальных сетей АС могут атаковать другие узлы (серверы, рабочие станции) своей сети (фрагмента, домена) с целью получения несанкционированного доступа к находящейся на них защищаемой информации.
11. Несанкционированный доступ к ресурсам системы
Нарушитель, имеющий логический доступ к системе, может пытаться получить доступ к ресурсам системы (защищаемой информации) и выполнить операции, на которые у него нет прав. Причинами реализации данной угрозы могут быть, в частности, следующие недостатки:
— использование установок привилегий для пользователей в системе по умолчанию, которые явно излишни для них;
— неправильное использование привилегий администратора (предоставление администраторских прав многим пользователям);
— данные либо вовсе не защищены (предоставлены всем), либо защищены недостаточно;
— отсутствие или неправильное использование механизмов по установке и проверке привилегий пользователей на доступ к данным;
— использование программно-аппаратных платформ рабочих станций (операционных систем), на которых отсутствует средства контроля доступа к файлам (без систем защиты информации от НСД).
12. Использование вспомогательных и излишних протоколов
Нарушитель может пытаться получить доступ к АС, используя вспомогательные сетевые и прикладные протоколы, пакетам которых разрешено проходить через коммуникационное оборудование, но которые не должны использоваться удаленными пользователями (абонентами) системы. В узлах ЛВС (серверах) могут устанавливаться (по умолчанию) прикладные сервисы, не используемые в системе, уязвимость которых может использовать нарушитель для получения несанкционированного доступа или блокирования работы узла.
13. Перехват и искажение информации во внешних каналах связи
Нарушитель может перехватывать и модифицировать (искажать) как конфиденциальную информацию, так и электронные документы АС, передаваемые по внешним каналам связи.
14. Подделка сетевого трафика
Данные, передаваемые по сети, не должны несанкционированным образом изменяться, как в результате плохой передачи в сети, так и нарушителями. Пользователи должны быть уверенными в том, что посланное ими сообщение получено без изменений. Модификация передаваемых данных может произойти вследствие преднамеренного или непреднамеренного изменения какой-либо части сообщения, включая содержательную и адресную информацию. Подделка сетевого трафика может включать 1) возможность принимать сообщения маскируясь под законный пункт назначения, или 2) маскируясь под законный источник сообщений, посылать сообщения куда либо. Для маскирования под принимающую станцию, необходимо, чтобы адрес пункта назначения выглядел бы как законный адрес принимающей станции. Перехват трафика может осуществляться прослушиванием сообщений, так как они передаются в широковещательном режиме всем станциям. Для маскирования под передающую станцию необходимо обмануть принимающего в том, что сообщение было законно отправлено с помощью подделки адреса источника или посредством «прокрутки» перехваченных сообщений. «Прокрутка» предполагает захват (запись) сеанса между отправителем и получателем и последующую повторную передачу ранее перехваченного сообщения (либо только заголовка сообщения с новым его содержанием, либо всего перехваченного сообщения).
Причинами реализации данной угрозы могут быть, в частности, следующие недостатки:
— передача сетевого трафика в явном (незашифрованном) виде;
— отсутствие отметки даты/времени, указывающей время отправки и время приёма;
— отсутствие механизма проверки подлинности сообщений или цифровой подписи;
— отсутствие контроля за программной средой РС;
— отсутствие механизма верификации сообщений в реальном масштабе времени (для использования против «прокрутки»).
15. Неправильная установка прав и привилегий пользователей
Определение и назначение администраторских и пользовательских прав может быть произведено таким образом, что защита системы будет нарушена вследствие нарушения полноты, целостности и непротиворечивости таблиц (матриц) разграничения доступа СЗИ.
В общем случае, права администраторов и пользователей могут быть сформированы неправильно, иметь ошибочные сочетания прав на выполняемые операции с объектами доступа (данными). Пользователям и администраторам также могут быть назначены права, которые не соответствуют их производственным обязанностям, предоставляя им либо излишние, либо слишком ограниченные полномочия.
Особая опасность проистекает из-за того, что администраторам предписываются конфликтующие права по отношению к принципу «разделения полномочий». Отдельному администратору может быть предоставлено право выполнения множества всех возможных операций над всеми защищаемыми объектами данных.
16. Отсутствие надзора за состоянием безопасности
Эта угроза относится к человеческому фактору, связанному с возможностью администратора или пользователя выявить события, влияющие на безопасность системы. Вследствие этого, система может использоваться в небезопасном режиме, который будет ошибочно представляться администратору или пользователю как безопасный. Проблема неизвещения о безопасности может проистекать от различных факторов. Например, возможно, что ошибки администратора или другие ошибки функционирования могут дезактивировать или отключить средства сохранности и защиты информации, может быть вызван крах системы, которая начнет снова функционировать в небезопасном режиме или система может быть установлена или сконфигурирована в незащищенное состояние.
17. Отсутствие оперативного обнаружения атак
Нарушитель может проводить повторяющиеся атаки на систему, а персонал АС не будет о них оперативно извещен.
18. Отсутствие и недостатки регистрации
События, существенные с точки зрения безопасности информации, могут не фиксироваться в системном журнале (протоколироваться) или не быть однозначно связаны с пользователем, который их вызвал.
Управление и сопровождение средств сохранности и защиты информации АС зависит от возможности обнаружения и представления событий, связанных с безопасностью информации, от возможности определения ответственных за вызванные события, а также от защиты записей о таких событиях от несанкционированного доступа, модификации или уничтожения. Строгая персональная ответственность пользователей за свои действия и оперативное сообщение обо всех аномальных событиях является обязательным с точки зрения безопасности информации.
Если записи протоколирования не включают существенные с точки зрения безопасности информации события или недоступны, невозможно обнаружить атаки на систему. При этом невозможно также сопоставить записи с конкретными пользователями. В любом случае, невозможно адекватно отреагировать на атаки системы.
19. Отсутствие анализа системных журналов
Результаты системы регистрации (системные журналы) могут просматриваться и анализироваться недостаточно оперативно. Причиной такого положения может быть большой объем регистрируемых данных, так и отсутствие удобных средств просмотра и анализа таких данных. Кроме этого, возможно неправильное конфигурирование или отключение средств регистрации. В любом случае, нарушитель может избежать обнаружения своих повторяющихся попыток проникновения в систему и несанкционированных действий.
20. Отсутствие проверки целостности средств безопасности при доставке и установке
Средства сохранности и защиты информации (программно-аппаратное обеспечение) могут быть доставлены и установлены таким образом, что безопасность системы будет разрушена.
Информационная безопасность системы предполагает, что средства безопасности первоначально устанавливаются в безопасное состояние, т.е. правильно сконфигурированы и функционируют. Это, в свою очередь, включает наличие гарантий того, что такие средства доставлены именно в том виде, в котором производилась их оценка (сертификационная) и что они впоследствии правильно установлены.
21. Неправильное администрирование и функционирование средств безопасности
Нарушения безопасности могут быть вызваны неправильным администрированием или функционированием АС и средств сохранности и защиты информации.
22. Нарушение целостности и ошибки средств безопасности
Пользователи или нарушители посредством случайного обнаружения или намеренного исследования могут выявить недостатки и ошибки в средствах безопасности, которые были внесены при проектировании системы и которые могут ими использоваться для получения несанкционированного доступа.
Программы и данные, обеспечивающие безопасность системы, могут быть обойдены или скомпрометированы, вызвав нарушение целостности средств безопасности и их действенность в управлении защитой. В частности, может быть несанкционированно изменена конфигурация коммуникационного оборудования (межсетевого экрана) или модифицированы данные системы безопасности АС.
Подмена системы безопасности может произойти при доставке дистрибутива средств сохранности и защиты информации. Во время функционирования системы нарушители могут разработать методы нарушения целостности системы, вследствие чего средства безопасности можно будет обойти, модифицировать или отключить.
23. Отсутствие контроля эффективности средств безопасности
При эксплуатации средств сохранности и защиты информации необходимо периодически проводить контроль их эффективности. Средства сохранности и защиты информации со временем могут снижать свою эффективность, как вследствие неправильного сопровождения и обслуживания, так и с появлением новых видов атак, которые используют уязвимости и слабые места системы безопасности.
П3.2.2. Угрозы для конфиденциальной информации
Для информации, содержащей сведения конфиденциального характера, дополнительно учитываются перечисленные ниже угрозы.
24. Несанкционированная передача информации во внешние сети
Пользователи внутренних защищенных сетей АС, региональных площадок АС могут передать конфиденциальную информацию во внешние (посторонние) по отношению к системе сети.
25. Нарушение конфиденциальности данных
Данные, содержащие сведения конфиденциального характера и обрабатываемые в АС, требуют определённого уровня защиты. Утечка данных или программных средств, содержащих конфиденциальную информацию, может происходить в таких условиях, когда они доступны и предоставляются несанкционированным пользователям. Например, это возможно, когда кто-либо посторонний получает доступ к незашифрованным данным на рабочей станции и сервере, к экранам дисплеев и распечаткам на принтере. Причинами реализации данной угрозы могут быть, в частности, следующие недостатки:
— неправильные установки по управлению доступом, либо отсутствие управления доступом;
— отсутствие управления потоками информации;
— чувствительные данные, которые следует зашифровывать, хранятся в незашифрованном виде;
— исходные тексты программ хранятся в незашифрованном виде;
— мониторы дисплеев просматриваются в проходных помещениях;
— данные и архивные копии хранятся в общедоступных местах.
26. Перехват сетевого трафика
Перехват сетевого трафика происходит в том случае, когда несанкционированное лицо читает или получает каким-либо образом информацию, которая передаётся по сети АС. Сетевой трафик может быть скомпрометирован с помощью прослушивания или перехвата трафика, передаваемого по транспортной среде АС (например, с помощью подключения к сетевому кабелю, прослушивания эфира, неправильного использования предоставляемого сетевого соединения для подключения сетевых анализаторов и т.п.). Многие пользователи осознают важность обеспечения конфиденциальности информации, когда она хранится на их рабочих станциях или серверах, однако, также важно обеспечивать конфиденциальность информации, передаваемой по сети. Информация, которая может быть скомпрометирована таким образом, включает имена системы и пользователей, пароли, сообщения электронной почты, данные прикладных программ и т.п. Например, даже если пароли хранятся в системе в зашифрованном виде, они могут быть перехвачены в явном виде при их передаче от рабочей станции к файл-серверу. Файлы сообщений электронной почты, доступ к которым строго контролируется в системе, часто передаются по сети в явном виде и могут быть легко перехвачены.
Причинами реализации данной угрозы могут быть, в частности, следующие недостатки:
— недостаточная физическая защищённость сетевых устройств и среды передачи;
— отсутствие контроля за программной средой рабочих станций;
— передача данных в явном незашифрованном виде по среде передачи сети.
П4. Требования информационной безопасности
1. Надёжная конфигурация аппаратных средств
Конфигурация аппаратных средств АС должна исключать отказ всей системы и её основных подсистем из-за неисправности единичного оборудования (накопителей, дисковых контроллеров, процессоров, серверов, рабочих станций, коммуникационного оборудования, линий и каналов связи и т.п.) с помощью его резервирования, дублирования и других методов обеспечения отказоустойчивости.
2. Надёжная конфигурация программных средств
Конфигурация системных и прикладных программных средств АС должна исключать отказ всей системы и её основных подсистем при возникновении одиночной ошибки в какой-либо программе посредством изолирования доменов (платформ), в которых исполняются критичные программы от других программ, а также дублирования программных процессов и их оперативного (автоматического) восстановления при неисправностях.
3. Резервное копирование и архивирование
Для обеспечения восстановления критичных данных (программных средств и баз данных) в АС должны проводится чёткие регламенты по их резервному копированию и архивированию с использованием скоростных высоконадёжных специальных программно-аппаратных средств. Должно быть обеспечено территориальное разнесение архивных (страховочных) копий данных.
Процедуры резервного копирования и архивирования должны основываться на ведении циклически перезаписываемых нескольких (не менее трёх) наборов копий (архивов), в т.ч. территориально разнесенных.
Резервное копирование важных баз данных должно проводится ежедневно (в конце рабочего дня).
4. Восстановление технических и программных средств
В АС должны быть предусмотрены процедуры и регламенты оперативного восстановления целостности и работоспособности технических и программных средств, баз данных в случае их искажения, отказа, сбоя и неправильного функционирования. Время восстановления критичных технических средств не должно превышать 12 часов, программных – 2 часа.
Такие процедуры должны использовать как автоматические, так и ручные операции по восстановлению. Регламенты по восстановлению должны определять ответственных исполнителей (администраторов), средства и период времени, требуемый на восстановление.
5. Процедуры извещения об ошибках программных средств
Со стороны разработчика:
а) разработчик должен документировать процедуры устранения ошибок;
б) разработчик должен установить процедуры приёма от пользователей сообщений об обнаруженных ошибках в программах и порядок действий по ним, а также порядок действий на запросы по устранению таких недостатков.
Содержание и представление доказательства:
а) документация по процедурам устранения ошибок должна включать описание процедур, используемых для отслеживания всех заявленных ошибок в программах каждой версии продукта;
б) процедуры устранения ошибок должны требовать представления описания природы и эффектов каждой ошибки в продукте, а также состояния поиска исправления ошибки;
в) процедуры исправления ошибок должны требовать определения действий по исправлению для каждой ошибки в продукте;
г) документация по процедурам исправления ошибок должна содержать методы предоставления информации об ошибках и их исправлениях пользователям продукта;
д) процедуры по обработке заявленных ошибок в продукте должны гарантировать, что любая заявленная ошибка исправляется и исправления предоставляются пользователям.
Действия эксперта:
а) эксперт должен подтвердить, что представленная информация соответствует требованиям к содержанию и представлению доказательства по процедурам извещения об ошибках разработчика в поставляемом продукте.
Действия разработчика:
а) Разработчик должен разработать документацию по безопасным процедурам доставки продукта или его частей пользователям;
б) разработчик должен неукоснительно выполнять процедуры доставки.
Содержание и представление доказательства:
а) документация по доставке должна описывать процедуры, которые используются для поставки различных версий продукта пользователям;
б) документация по доставке должна описывать, какие процедуры используются для обнаружения модификаций продукта;
в) документация по поставке должна описывать, как проводятся различные процедуры и технические мероприятия для обнаружения модификаций, или в случае расхождений между эталонной копией разработчика и версией полученной пользователем;
г) документация по поставке должна описывать каким образом различные процедуры позволяют выявлять попытки маскировки (подмены) продукта, даже в случае, когда разработчик ничего не направлял пользователю.
Действие эксперта:
а) эксперт должен подтвердить, что представленная информация отвечает требованиям, предъявляемым к содержанию и представлению доказательства по обнаружению модификаций продукта.
Средства безопасности должны обеспечивать создание и ведение уникальных идентификаторов пользователей, администраторов АС, рабочих станций (АРМ) и коммуникационного оборудования, используемых при доступе к прикладным подсистемам АС, а также идентификаторов и данных, содержащих сведения конфиденциального характера.
Каждому пользователю и администратору должен устанавливаться один и тот же идентификатор для доступа ко всем разрешенным подсистемам. В качестве идентификаторов рабочих станций и маршрутизаторов должны использоваться имена (NetBios), IP (Internet Protocol) и MAC (Medium Access Control) адреса.
Идентификация внешних устройств серверов и рабочих станций (АРМ), программ, томов, каталогов, файлов, записей и полей записей проводится средствами соответствующих операционных систем и СУБД по логическим именам и внутренним идентификаторам.
Идентификация серверов, АРМ, файлов (томов, каталогов, баз данных СУБД), содержащих сведения конфиденциального характера, а также программ, предназначенных для обработки таких данных, проводится по именам и соответствующим меткам конфиденциальности. При их наименовании следует использовать принятые определённые соглашения (например, включать в имя и/или расширение файла/каталога/тома определённые символы) или вести список соответствующих имён. В качестве меток конфиденциальности могут использоваться:
— для серверов, АРМ, съёмных носителей информации, печатных (графических) документов – маркировка, включающая гриф «ДСП»;
— для томов, каталогов, файлов (программ) – специальные имена и/или списки имён.
8. Аутентификация пользователей
Проверка подлинности (аутентификация) пользователей при входе в операционную систему (АРМ, РС), СУБД и прикладную подсистему должна проводится по идентификатору и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов, а для подсистем, обрабатывающих конфиденциальную информацию — не менее восьми.
9. Ведение аутентификационных данных пользователей
В системе должны использоваться удобные программные средства ведения аутентификационных данных пользователей (идентификаторов и паролей), включая их генерацию, просмотр и модификацию. Данные средства должны быть доступны только администраторам информационной безопасности соответствующих операционных систем, СУБД и прикладных подсистем. Ни один администратор не должен иметь права ведения всех аутентификационных данных.
Санкционированным пользователям и администраторам может разрешаться модификация своих паролей в рамках установленных условий.
Средства безопасности должны обеспечивать защищенный механизм для изменения своих паролей самими пользователями. Такой механизм должен проводить повторную аутентификацию пользователей.
10. Защита аутентификационных данных пользователей
Средства безопасности должны обеспечивать защиту аутентификационных данных от несанкционированного просмотра, модификации и уничтожения.
Пароли (в электронном виде) следует хранить в преобразованном виде с помощью необратимого алгоритма.
11. Дополнительная защита аутентификационных данных пользователей
Средства безопасности должны автоматически подавлять или полностью обезличивать представление в явном виде паролей на устройствах ввода/отображения.
12. Обработка отказов аутентификации
Средства безопасности должны обеспечивать полное выполнение процедуры аутентификации пользователя даже в случае ввода неправильного идентификатора. Сообщение об ошибке не должно содержать информации о том, какая часть аутентификационной информации (идентификатор или пароль) неправильная.
Средства безопасности должны предотвращать попытки установления логического соединения (сеанса) с операционной системой, СУБД и прикладной подсистемой после определенного количества неуспешных попыток, заданных администратором информационной безопасности. По умолчанию число таких попыток должно быть равно трём (3) и может устанавливаться в диапазоне от трёх до пяти (3-5). При превышении этого числа средства безопасности должны обеспечивать возможность блокирования соответствующего бюджета пользователя до выполнения определенных условий (вмешательства администратора информационной безопасности) для возобновления процесса или задержку следующих попыток на определенное время, заданное администратором. По умолчанию такой интервал должен быть равен 60 сек.
Средства безопасности должны включать механизм для проверки того, что пароли отвечают определенному качеству.
Пароли не должны повторно использоваться с тем же идентификатором пользователя в течении определенного времени. По умолчанию такой срок должен быть 6 месяцев.
Если пользователи сами меняют пароли, то средства безопасности не должны извещать пользователя о том, что выбранный им пароль уже используется другим пользователем. Такие средства должны, по умолчанию, запрещать ввод паролей менее восьми символов в подсистемах, обрабатывающих конфиденциальную информацию.
Средства безопасности должны включать алгоритм для обеспечения выбора пароля, удовлетворяющего следующим условиям:
Длина пароля должна быть не меньше определенной в системе длины. Минимальная длина пароля по умолчанию должна быть равна 6 символам.
Алгоритм проверки сложности паролей должен быть изменяемым. Алгоритм по умолчанию должен требовать включение в пароль по крайней мере двух алфавитных символов (одного в верхнем, другого в нижнем регистре), одного цифрового символа и одного специального символа (подчеркивание, тильда и т.п.).
Средства безопасности должны включать защищенный механизм, позволяющий определить список запрещенных паролей (например, сокращенное наименование организации, общеизвестные фамилии, наименования программных продуктов и т.п.).
Средства безопасности должны исключать выбор паролей, совпадающих с каким-либо из списка запрещенных.
Новый пароль должен отличаться от предыдущего не менее чем шестью символами в подсистемах, обрабатывающих конфиденциальную информацию.
Контроль за сложностью паролей должен осуществляться только со стороны администраторов информационной безопасности.
Средства безопасности должны включать механизм для генерации паролей, удовлетворяющих определенному качеству (п. 4.13).
Алгоритмы генерации паролей, должны удовлетворять следующим требованиям:
Алгоритм должен генерировать пароли, которые легко запомнить.
Средства безопасности должны предоставлять альтернативный выбор пароля из сгенерированного перечня.
Пароли должны быть устойчивы к атакам прямого перебора.
Генерируемая последовательность паролей должна иметь случайный характер (последовательные значения не должны коррелироваться, а сами вырабатываемые последовательности должны скрывать свою периодичность).
15. Санкционирование по времени
Средства безопасности должны предоставлять администратору возможность определять предельное время действия для атрибутов безопасности (паролей, ключей, идентификаторов), для которых может устанавливаться срок действия.
Для каждого из этих атрибутов безопасности должны вырабатываться определенные операции после истечения их срока действия (изменение, удаление):
а) средства безопасности должны отслеживать срок действия паролей для отдельных пользователей, для групп (т.е. от пользователя должно требоваться изменить свой пароль после определенного времени). По умолчанию срок действия паролей для всех пользователей, кроме администраторов информационной безопасности, должен составлять 30 дней;
б) срок действия паролей для администраторов информационной безопасности по умолчанию должен составлять 15 дней;
в) после истечения срока действия пароль не должен быть действительным, за исключением случаев, приведенных ниже;
г) средства безопасности должны включать защищенный механизм для извещения пользователей о необходимости изменения ими паролей. Это может выполняться двумя способами:
предупреждение пользователей в определенное время до истечения срока действия паролей. Такой срок по умолчанию должен составлять 7 дней;
предупреждение пользователей об истечении срока действия паролей, разрешая при этом использовать определенное число раз старый пароль до введения нового пароля. По умолчанию такое число должно быть равно двум.
д) установка значений по умолчанию для сроков действия паролей должна быть доступна только администратору информационной безопасности.
Средства безопасности должны ограничивать максимальное число текущих сеансов, которые может инициировать пользователь с одним идентификатором.
Средства безопасности должны по умолчанию устанавливать один сеанс для каждого пользователя.
Если допускается установление пользователем более одного сеанса, то средства безопасности должны использовать минимальное число сеансов.
Условия установления сеанса должны определяться только администратором информационной безопасности.
Средства безопасности должны позволять блокировать или принудительно завершать сеанс.
17. Установление сеанса с системой
Средства безопасности должны иметь возможность отказывать в установлении сеанса с учетом времени доступа. В качестве таких параметров должны использоваться время дня, день недели и календарная дата.
Средства безопасности должны иметь возможность отказывать в установлении сеанса с учетом адреса (IP, MAC) и имени (NetBios) источника запроса.
Средства безопасности должны иметь возможность отказывать в установлении сеанса с учетом используемого метода доступа (протокола).
Условия установления сеанса должны определяться только администратором информационной безопасности.
Средства безопасности должны блокировать интерактивный сеанс после определенного интервала времени неактивности пользователя посредством:
а) очистки или перезаписывания устройств отображения (дисплеев) таким образом, чтобы текущее их содержание становилось неинформативным;
б) установки устройств отображения и доступа к данным пользователя в неактивное состояние, приведение которых в оперативное состояние осуществляется с помощью разблокирования сеанса.
Интервал времени бездействия пользователя по умолчанию должен устанавливаться только администратором.
Средства безопасности должны проводить повторную аутентификацию пользователя для разблокирования сеанса.
19. Принудительное завершение сеанса
Средства безопасности должны принудительно завершать интерактивный сеанс после определенного интервала времени неактивности пользователя.
Интервал неактивности пользователя по умолчанию должен устанавливаться только администратором.
20. Блокирование сеанса по инициативе пользователя
Средства безопасности должны предоставлять пользователю возможность блокирования своего сеанса посредством:
а) очистки или перезаписывания устройств отображения, чтобы текущее их содержание становилось неинформативным;
б) установки устройств отображения и доступа к данным пользователя в неактивное состояние, приведение которых в оперативное состояние осуществляется с помощью разблокирования сеанса.
Средства безопасности должны проводить повторную аутентификацию пользователя для разблокирования сеанса.
21. Контроль доступа к параметрам доступа
Средства безопасности должны предоставлять средства отображения и модификации параметров доступа к системе только администратору информационной безопасности.
Средства безопасности должны предоставлять администратору средства для отображения всех параметров доступа для отдельного пользователя, а также списка пользователей, связанных с определенным параметром доступа к системе.
Средства безопасности должны предоставлять канал связи между механизмами аутентификации и пользователями, который должен быть логически отличным от других каналов связи и обеспечивать гарантированную защищенную аутентификацию субъектов доступа.
Средства безопасности и пользователи должны иметь возможность инициировать связь через защищенный канал.
Средства безопасности должны требовать создание защищенного канала для первоначальной аутентификации пользователей и аутентификации других процессов, для которых требуется защищенный канал.
23. Привязка прав и привилегий пользователя к субъекту доступа
Средства безопасности должны однозначно связывать соответствующие права и привилегии пользователя с субъектами доступа (программами, процессами), инициированными пользователем. Такая связь должна быть защищена от какого-либо вмешательства.
24. Параметры управления доступом
Средства безопасности должны обеспечивать выполнение разрешительной системы доступа (правил безопасности) на основе прав и привилегий пользователей с учетом:
а) субъектов доступа (программ, процессов), выступающих от имени пользователей;
б) объектов доступа (данных), над которыми выполняются операции в соответствии с правами доступа;
в) операций, выполняемых над объектами в соответствии с заданными правилами.
Типы объектов доступа и допустимые над ними операции определяются для каждого программного продукта (операционной системы, СУБД, прикладной подсистемы).
25. Управление доступом на основе прав и разрешений
Субъект доступа (программа, процесс), функционирующий от имени пользователя, может выполнить операцию над объектом, если:
а) пользователь имеет право доступа к данному объекту, и
б) запрошенная операция предоставлена (разрешена) для данного пользователя, и
в) объект доступа разрешен для данной операции.
26. Дискреционное (избирательное) управление доступом
Средства безопасности должны обеспечивать избирательное (дискреционное) управление доступом к объектам на основе следующих атрибутов субъектов доступа:
а) идентификатора пользователя;
б) группы, к которой принадлежит пользователь.
Средства безопасности должны обеспечивать дискреционное управление доступом к объектам на основе следующих атрибутов объекта:
а) списка доступа: списка идентификаторов пользователей и/или списка групп, с указанием для каждого отдельного пользователя и члена группы списка разрешенных операций;
б) списка пользователей и/или списка групп, которым запрещен доступ к объекту.
Средства безопасности должны обеспечивать выполнение следующих правил для определения допустимости операции между контролируемыми субъектами и объектами:
Субъекту разрешается выполнение операции над объектом, если:
а) идентификатор пользователя соответствующего субъекта доступа не входит в список пользователей, которым запрещен доступ к объекту, и
б) идентификатор пользователя субъекта доступа входит в список доступа к объекту, или идентификатор пользователя входит в список групп доступа к объекту, и запрашиваемая операция содержится в списке разрешенных операций для данного пользователя (группы);
в) проверка списка (списков) разрешений на доступ к объекту не проводится, если пользователь входит в список пользователей, которым запрещён доступ к объекту.
27. Управление потоками информации
Для изолирования размещения данных, содержащих сведения конфиденциального характера, от других данных необходимо использовать следующие средства и методы управления потоками информации.
Изолирование сеанса – для обработки конфиденциальной информации может выделяться для пользователей отдельный сеанс работы на АРМ и в ЛВС (с отдельным идентификатором и паролем), в котором будут доступны только те ресурсы, которые предназначены только для обработки и хранения конфиденциальной информации (серверы, АРМ, тома, каталоги, файлы и программы с учётом п. 4.7). В этом случае, все возможные потоки информации строго определены и фиксированы. Съёмные носители информации, используемые в таком сеансе работы, должны иметь соответствующую учётную маркировку и гриф «ДСП». Если при таком сеансе не требуются сетевые ресурсы (серверы), то сетевая поддержка не должна загружаться на АРМ. Изолирование сеанса может проводиться с помощью настройки и конфигурирования системного и прикладного программного обеспечения, включая средства защиты информации от НСД.
Введение строгого регламента – для обработки конфиденциальной информации могут устанавливаться (организационно) строгие регламенты работы, определяющие те ресурсы АС (серверы, тома, каталоги, файлы, съёмные накопители), которые при этом могут использоваться. В таких регламентах должно чётко указываться, где может записываться и храниться информация ограниченного распространения.
Применение сертифицированных систем защиты информации от НСД, в которых имеются средства управления потоками информации на основе мандатного принципа разграничения доступом.
28. Санкционирование доступа и отказ в доступе
Средства безопасности должны обеспечивать дискреционное управление доступом для его предоставления или для отказа в доступе исключительно на основе значений указанных атрибутов субъектов и объектов.
29. Задание общих прав и привилегий пользователей по умолчанию
Средства безопасности должны обеспечивать создание (инициализацию) прав и привилегий пользователей по заданному умолчанию. Например, в рамках определенной группы пользователей создание нового члена группы влечет автоматическое предоставление ему общих прав и привилегий группы, в случае использования типовых ролей при создании пользователя ему приписываются определенные минимальные права и привилегии по умолчанию.
30. Ведение прав и привилегий пользователей
Средства безопасности должны предоставлять удобные программные средства для отображения и модификации прав и привилегий пользователей. Данные средства должны быть доступны только администраторам информационной безопасности соответствующих операционных систем, СУБД и прикладных подсистем. Ни один администратор не должен иметь права ведения всех таких данных.
31. Установка индивидуальных прав и привилегий пользователей
Средства безопасности должны предоставлять администратору информационной безопасности возможность устанавливать индивидуальные права и привилегии для каждого пользователя.
Средства безопасности при дискреционном управлении должны обеспечивать создание ограничительных значений атрибутов объектов доступа по умолчанию.
Средства безопасности должны позволять задавать альтернативные начальные атрибуты объекта доступа, заменяющие значения по умолчанию при создании объекта.
Средства безопасности должны предоставлять возможность для санкционированных пользователей изменять значения по умолчанию атрибутов доступа относящихся к ним объектов доступа (владельцами которых они являются).
33. Ограничение множества атрибутов
Средства безопасности должны ограничивать набор атрибутов безопасности (прав и привилегий) каждого сеанса на основе идентификатора пользователя.
Условия установления сеанса должны определяться только администратором информационной безопасности.
Средства безопасности при управлении доступом должны предоставлять администратору возможность изменять списки доступа к объектам, которые он создал.
35. Запрос атрибутов администратором
Средства безопасности при управлении доступом на основе групп, «ролей» (совокупностей типовых прав и привилегий, которые предоставляются отдельным пользователям или группам) должны предоставлять администратору средства для получения (просмотра) идентификационной и аутентификационной информации, прав, привилегий и операций (атрибутов доступа), разрешенных пользователям групп и содержащиеся в «ролях» по отношению к объектам доступа.
36. Запрос атрибутов пользователем
Средства безопасности должны предоставлять санкционированным пользователям средства для получения (просмотра) следующих значений:
а) имен всех групп;
б) списков доступа тех объектов, владельцами которых они являются.
Средства безопасности должны устанавливать квоты, ограничивающие максимальный размер (количество) контролируемых ресурсов (объем памяти), который могут использовать отдельные пользователи, группы пользователей одновременно или в течение определенного времени.
38. Регистрация при работе с электронными документами
Средства безопасности должны регистрировать следующие события:
а) запуск и останов средств регистрации;
б) события, связанные с функциональными компонентами (средствами безопасности), а именно:
— любое использование программно-аппаратных средств аутентификации;
— принятие или отвержение любого вводимого пароля при аутентификации;
— отказ в создании нового сеанса с учетом ограничения на число одновременно устанавливаемых сеансов;
— все попытки установления сеансов пользователями;
— блокирование интерактивного сеанса механизмом его блокировки;
— успешное разблокирование интерактивного сеанса;
— окончание интерактивного сеанса механизмом его завершения;
— успешное применение предупредительных действий, которые должны использоваться при возможном нарушении безопасности;
— истечение срока действия атрибутов безопасности (паролей);
— разрешения на запрошенные операции;
— отказы на запрошенные операции;
— успешные и неуспешные попытки активизации (запуска) программ (процессов) субъектами доступа (пользователями);
— идентификатор пользователя или субъекта доступа неуспешно пытавшийся экспортировать (передать, переместить) объект доступа (файл);
— любые попытки выполнения операций с системным журналом, т.е. любые попытки чтения, изменения или уничтожения системного журнала;
— извещения администратора в случае переполнения системного журнала.
Средства регистрации должны приписывать к каждой записи, по крайней мере, следующие данные:
а) дату и время возникновения события, тип события, идентификатор субъекта доступа и результат завершения события: успешное/неуспешное;
б) для каждого типа регистрируемого события с учетом специфики соответствующей функциональной компоненты другие характерные данные.
39. Регистрация при работе с конфиденциальной информацией
При работе с конфиденциальной информацией средства безопасности должны дополнительно к событиям, указанным в п.4.38, регистрировать:
— любые попытки использования программных средств ведения аутентификационных данных (идентификаторов, паролей);
— все успешные и неуспешные (несанкционированные) попытки доступа к аутентификационным данным (идентификаторам, паролям);
— все попытки использования программных средств ведения атрибутов безопасности пользователей (прав, привилегий, разрешений, ограничений и т.п.);
— изменение атрибутов пользователей с указанием их значений;
— изменение параметров (условий и ограничений) аутентификации (изменение связи с определенными событиями — даты, времени и т.п.);
— установка аутентификационного механизма (программы, сервиса);
— все попытки использования программных средств ведения идентификаторов пользователей, с регистрацией введенных идентификаторов;
— все попытки выбора атрибутов безопасности пользователей (паролей) из множества выбираемых атрибутов;
— идентификация инициатора и цель использования защищенного канала;
— все попытки использования функций защищенного канала;
— должна осуществляться регистрация выдачи печатных (графических) материалов, содержащих сведения конфиденциального характера, на «твердую» копию, выдача должна сопровождаться автоматической маркировкой каждого листа (страницы) порядковым номером и учетными реквизитами с указанием на последнем листе общего количества листов (страниц);
— используемые атрибуты безопасности и идентификаторы пользователей, субъектов и/или объектов доступа при успешном их взаимодействии;
— идентификаторы пользователя и/или субъекта доступа успешно изменивший атрибуты безопасности объекта (список доступа) и идентификатор объекта, у которого проведена модификация;
— неуспешные попытки изменения атрибутов безопасности субъектов и объектов (пользователей и данных);
— новые значения измененных атрибутов;
— идентификаторы пользователя и/или субъекта доступа, неуспешно пытавшегося изменить атрибуты, объекта модификации, а также старые и запрашиваемые новые значения атрибутов;
— идентификаторы пользователя, успешно/неуспешно запросившего атрибуты безопасности объекта и объекта, у которого они запрашивались;
— включение и выключение любых механизмов выявления аномальных событий;
— извещения, выданные администратору механизмами выявления аномальных событий;
— автоматические ответные действия, выданные механизмами выявления аномальных событий;
— любые изменения конфигурации механизмов выявления аномальных событий;
— включение и выключение любых механизмов выявления проникновения;
— извещения, выданные администратору механизмами выявления проникновения;
— выявление нарушений механизмами надзора за безопасностью;
— все модификации конфигурации функций по регистрации событий во время работы;
— любое использование средств проверки целостности данных средств защиты;
— выявление модифицированных данных средств защиты;
— использование программных средств администратора информационной безопасности;
— введение новой функции (программ, сервиса) для администратора информационной безопасности.
Ниже приведены другие регистрируемые события:
— использование и результат самотестирующих функций средств защиты;
— действия, предпринятые операторами и администраторами системы и/или администраторами информационной безопасности;
— другие контролируемые события (при необходимости), для чего средства защиты должны иметь интерфейс для прикладных программ, позволяющий привилегированным прикладным программам добавлять записи в системный журнал или в отдельный журнал по безопасности прикладной программы.
Средства регистрации должны приписывать к каждой записи по крайней мере следующие данные:
а) дату и время возникновения события, тип события, идентификатор субъекта доступа и результат завершения события: успешное/неуспешное;
б) для каждого типа регистрируемого события с учетом определения соответствующей функциональной компоненты другие специфические данные.
При выдаче печатных (графических) материалов, содержащих сведения конфиденциального характера, в параметрах регистрации должны указываться:
— дата и время выдачи;
— спецификация устройства выдачи (логическое имя (номер) внешнего устройства);
— краткое содержание (наименование, вид, шифр, код) материала;
— идентификатор субъекта доступа, запросившего выдачу материала;
— объем фактически выданного материала (количество страниц, листов, копий) и результат выдачи: успешная (весь объем) или неуспешная.
40. Авторизация пользователя
Средства безопасности должны однозначно связывать контролируемые события с индивидуальным идентификатором пользователя, который их вызвал.
41. Сопровождение системного журнала
Средства безопасности должны включать средства администратора информационной безопасности для создания, удаления и очистки системного журнала.
Средства сопровождения системного журнала должны обеспечивать:
— архивирование файлов системных журналов на внешние накопители с одновременным их компрессированием;
— создание, уничтожение и очистку системных журналов;
— изменение размера системного журнала;
— форматирование и компрессирование записей из системного журнала;
— отображение форматированных данных из системного журнала;
— автоматическое копирование файлов системных журналов во вспомогательную область памяти (каталоги файл-сервера, внешние накопители) после заданного для системы промежутка времени;
— автоматическое удаление файлов системного журнала после их архивирования;
— блокирование удаления системного журнала, если он не был предварительно сохранен во вспомогательной области памяти;
— поддержание целостности данных системного журнала после сбоев системы и прерывания ее работы.
Средства ведения архивов системных журналов должны обеспечивать высоконадёжный длительный срок хранения (более 5 лет) больших объёмов систематизированных данных. Средства ведения архивов системных журналов должны предоставлять возможность извлечения системного журнала по периоду времени, адресу (имени) рабочей станции (АРМ), идентификатору пользователя и другим атрибутам.
42. Управление переполнением системного журнала
Средства безопасности должны вырабатывать сигнал для администратора информационной безопасности в случае превышения размера системного журнала заданных границ.
Средства безопасности должны предоставлять администратору возможность определять граничные значения размера системного журнала, при достижении которых будет вырабатываться сигнализационное сообщение.
43. Доступ к системному журналу
Доступ к системному журналу для выполнения любых операций должен предоставляться только администратору информационной безопасности.
44. Анализ системного журнала
Средства безопасности должны включать и предоставлять средства для анализа данных системного журнала и для полного просмотра системного журнала только администратору информационной безопасности.
Средства безопасности должны предоставлять средства ограниченного просмотра системного журнала только для санкционированных пользователей.
45. Выборочная регистрация
Средства безопасности должны предоставлять возможность включать или исключать регистрацию событий на основе следующих атрибутов:
а) идентификаторов объектов, пользователей, субъектов доступа, АРМ и типа события;
б) списка дополнительных атрибутов, которые используются при регистрации.
46. Оперативный выбор регистрации
Средства безопасности должны предоставлять администратору информационной безопасности возможность выбора регистрируемых событий в любое время работы системы.
47. Оперативное отображение регистрируемых событий
Средства безопасности должны предоставлять только администратору информационной безопасности возможность просмотра типов регистрируемых событий во время работы системы.
48. Постоянное хранение системного журнала
Средства безопасности должны обеспечивать постоянное (архивное) хранение записей системного журнала на внешних носителях информации.
49. Предотвращение потерь данных системного журнала
Средства безопасности должны ограничивать число потерянных записей системного журнала вследствие сбоя системы, атаки на систему или переполнения памяти, выделенной для системного журнала.
В случае переполнения памяти, выделенной для системного журнала, такие средства должны по выбору либо игнорировать, либо предотвращать возникновение регистрируемых событий, за исключением вызванных администратором.
50. Учёт носителей информации
В АС должен проводиться строгий учёт всех носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).
Маркировка носителей информации должна указывать их вид конфиденциальности (ДСП – служебная тайна, КТ – коммерческая тайна, ПД – персональные данные и т.п.), принадлежность к подсистеме (административная, справочная и т.п.) и подразделению владельца ИСиР, в котором используется носитель, если учет ведется в каждом подразделении.
Хранение и использование съёмных носителей информации должно исключать несанкционированный к ним доступ.
51. Защита остаточной информации
Средства безопасности перед выделением/освобождением ресурсов для всех объектов доступа (оперативной и внешней памяти), содержавших ранее конфиденциальные данные (информацию), должны обеспечивать недоступность ранее содержавшейся в них информации.
52. Шифрование информации
Данные электронных документов, передаваемые по сети телекоммуникаций АС, могут шифроваться перед передачей и защищаться от модификации электронной цифровой подписью (ЭЦП). Порядок шифрования информации в ИСиР регламентируется Правительством РФ и города Москвы.
Должны использоваться только сертифицированные, либо разрешенные к использованию компетентными органами криптографические средства и средства ЭЦП. Использование таких средств должно осуществляться строго в соответствии с эксплуатационной документацией (правилами применения).
53. Ведение эталонов программ
В АС должен вестись архив эталонов программных средств, включая эталоны средств сохранности и защиты информации. Такой архив должны сопровождать системные администраторы и администраторы информационной безопасности. При ведении архива должны быть предусмотрены процедуры приёма и распространения изменений (исправлений, добавлений) программных средств разработчика.
54. Проверка системных и прикладных программных средств
В АС должны быть предусмотрены процедуры проверки целостности при доставке и правильности функционирования любых программных средств перед их установкой в системе.
55. Контроль целостности программ
Средства безопасности должны включать средства (процедуры) администратора информационной безопасности для проверки целостности исполняемых программ АС. Проверка целостности программ может проводиться поразрядным сравнением с эталоном или по контрольным суммам. На случай выявления (обнаружения) нарушения целостности программ должны быть предусмотрены процедуры восстановления целостности программ (переустановка, копирование с эталона).
56. Тестирование вычислительных средств во время работы системы
Средства безопасности должны включать средства проверки правильности функционирования технических и программных средств АС.
Средства безопасности должны предоставлять администратору информационной безопасности средства проверки целостности программ и данных (прикладных баз данных).
Средства безопасности должны выполнять набор самотестирующих тестов во время начальной загрузки и периодически во время нормальной работы для проверки правильности функционирования технических и программных средств АС:
а) должны предусматриваться аппаратные и/или программные средства, которые могут использоваться для периодической проверки правильности функционирования программно-аппаратных элементов АС. Эти средства должны включать: тесты по включению питания, загружаемые тесты и тесты, запускаемые администратором;
б) тесты по включению питания должны проверять все основные компоненты элементов программно-аппаратных средств АС, включая устройства и каналы обмена памяти; каналы данных; шины; регистры процессора и управляющей логики; контроллеры дисков; коммуникационные порты; консоли системы и динамики. Такие тесты должны охватывать все компоненты, которые необходимы для прогонки загружаемых тестов и тестов, запускаемых администратором;
в) загружаемые тесты должны охватывать: компоненты процессора (например, арифметическое и логическое устройства, арифметическое устройство с плавающей точкой, буферы декодирования команд, контроллеры прерываний, шина обмена регистров, буфер трансляции адреса, кэш память и контроллер шины обмена процессор-память); другие шины; контроллеры памяти; записываемую управляющую память (CMOS) для проведения тестирования целостности системы с удаленного рабочего места или по командам администратора;
г) запускаемые по командам администратора тесты должны проводить серию однократных или повторяющихся тестов при одновременном протоколировании их результатов и, в случае обнаружения ошибки, использовать программы проверки целостности для определения и локализации ошибки. Проведение тестов должно быть доступно только администраторам.
57. Тестирование средств безопасности во время работы
Средства безопасности должны предоставлять администратору информационной безопасности средства для проверки правильности их функционирования.
Средства безопасности должны выполнять комплекс самотестирующих средств во время первоначальной загрузки системы и периодически (по запросу) во время работы системы для проверки правильности своего функционирования.
58. Полное тестирование средств безопасности
Должно проводиться периодическое (не реже одного раза в год) тестирование всех функций применяемых средств безопасности. Такое тестирование проводится с помощью тестов разработчика при их наличии и доступности, в противном случае, с помощью тестов, разрабатываемых администраторами информационной безопасности с учётом специфики работы конкретного технологического участка АС.
59. Сохранение безопасного состояния при сбое
Средства безопасности должны обеспечивать сохранение безопасного состояния при своих сбоях.
60. Автоматическое восстановление
При сбоях и прерываниях в обслуживании средства безопасности должны обеспечивать возврат системы в безопасное состояние с использованием автоматических процедур.
Если автоматическое восстановление после сбоя или прерывания обслуживания невозможно, то такие средства должны переходить в профилактический режим, в котором обеспечивается возврат системы в безопасное состояние.
Средства безопасности должны предоставлять администратору информационной безопасности средства для восстановления программ и данных в непротиворечивое и безопасное состояние.
61. Защита от обхода средств безопасности
Средства безопасности должны обеспечивать строгое выполнение установленных правил по сохранности и защите и отрабатываться до разрешения выполнения любых связанных с безопасностью действий.
62. Изолирование домена средств безопасности
Средства безопасности должны выполняться в безопасном домене (узле, платформе, программной области памяти), защищенном от влияния и вмешательства со стороны других субъектов доступа.
Средства безопасности должны осуществлять разделение адресного пространства контролируемых субъектов доступа.
63. Устойчивость передаваемых данных средств безопасности
Средства безопасности должны обеспечивать надежное распознавание типов данных во время их передачи между механизмами защиты.
64. Отделение ролей по администрированию средств безопасности
Средства безопасности должны различать административные функции по безопасности (привилегированные) от других функций.
Набор административных функций по безопасности должен включать все функции, необходимые для установки, конфигурирования и управления такими средствами.
Административные функций по защите должны быть доступны только администраторам информационной безопасности.
Средства безопасности должны различать множество пользователей, которым разрешено использовать административные функции, от множества всех пользователей системы.
Средства безопасности должны требовать специальный запрос для назначения административных прав и привилегий по безопасности какому-либо пользователю.
65. Управляющие функции по безопасности
Средства безопасности должны предоставлять администратору средства для установки и изменения следующих параметров:
а) метода аутентификации для каждого правила защиты, если используется несколько методов;
б) условий установления сеанса для ограничения множества контролируемых атрибутов;
в) ограничений атрибутов для каждого пользователя при нескольких одновременных сеансах;
г) значения интервала времени неактивности пользователей по умолчанию;
д) предупреждающего сообщения при доступе к системе;
е) времени доступа, расположения (адреса) устройства доступа и метода доступа (условий доступа);
ж) параметров регистрации системного журнала;
з) предельного размера системного журнала;
и) других конфигурационных параметров.
Средства безопасности должны предоставлять администратору информационной безопасности выполнение следующих административных функций:
а) создание именованных групп;
б) удаление именованных групп;
в) включение пользователей в одну или несколько именованных групп;
г) назначение пользователям прав доступа;
д) другие административные функции.
Средства безопасности должны предоставлять возможность ведения ограничений (квот), шаблонов (профайлов — Profiles) использования системы, в которых отдельный шаблон представляет масштаб (историю) использования системы членом (членами) определенной группы пользователей и/или АРМ (объем используемой дисковой памяти, продолжительность работы, время работы и т.п.).
В этом случае, средства безопасности должны вести рейтинг подозрительности, связанный с каждым пользователем, действия которого записываются в шаблон, а рейтинг подозрительности представляет условия (уровень), при которых текущая деятельность пользователя рассматривается противоречащей установленной в его шаблоне использования системы.
Средства безопасности должны сообщать об угрожающих нарушениях безопасности, когда рейтинг подозрительности пользователя выходит за рамки установленных условий, т.е. условий, при которых о необычной деятельности пользователя вырабатывается сообщение средствами безопасности.
67. Анализ угрожающего нарушения
Средства безопасности должны предоставлять возможность включать набор правил по управлению контролируемыми событиями и указывать, на основании этих правил, на возможные нарушения безопасности.
Правила должны включать:
а) суммирование или сочетание определенных событий и параметров, указывающих на возможное или угрожающее нарушение безопасности;
б) неправильные попытки входа с использованием одного идентификатора пользователя;
в) любые другие правила.
Средства безопасности должны немедленно вырабатывать сигнал для администратора (администраторов) информационной безопасности при выявлении событий, связанных с возможным нарушением защиты.
а) когда число неправильных попыток установления сеанса (входа) превышает установленный лимит, средства безопасности должны посылать сообщение (возможно сопровождаемое звуковым сигналом) на рабочую станцию (терминал) администратора информационной безопасности.
Источники
1. Концепция национальной безопасности Российской Федерации в ред. Указа Президента РФ от 10.01.2000 №24 (введена Указом Президента РФ от 17.12.1997 №1300)
2. Доктрина информационной безопасности Российской Федерации (введена Указом Президента РФ от 09.09.2000 №Пр-1895)
3. Концепция защиты информации в Центральном федеральном округе (утверждена 07.07.2004 полномочным представителем Президента России в ЦФО)
4. Концепция информационной безопасности в органах исполнительной власти города Москвы. ЧастьII. Конфиденциальные и открытые информационные ресурсы (Утверждена Мэром Москвы 7 сентября 2005 г.)
5. РД Гостехкомиссии России «Сборник руководящих документов по защите информации от несанкционированного доступа», Гостехкомиссия России, Москва, 1998 г.
6. РД Гостехкомиссии России «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)», Москва, 2002 г.
7. ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы воздействующие на информацию. Общие положения».
8. ГОСТ Р 51583-2000 « Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения».
9. ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний».
10. ГОСТ Р ИСО/МЭК 15408 «Критерии оценки безопасности информационных технологий»
11. ISO/IEC 17799 «Управление информационной безопасностью».
12. ISO/IEC 13335 «Руководство по управлению безопасностью ИТ»
13. Британский стандарт BS7799 «Управление информационной безопасностью. ч.1 Практические рекомендации, ч.2 Спецификация системы».
14. Германский стандарт BSI «Руководство по защите информационных технологий для базового уровня»
15. Веселов Ю.М., Шеин А.В., Хведкевич В.А. Концепция проектирования защищенной региональной вычислительной системы. 40360932.60.086.ПТ.04. ЦБ РФ, 1998.
16. Городов О.А. Основы информационного права России: Учебное пособие. СПб.: Юридический центр Пресс, 2003. 305 с.
17. Домарев В.В. Моделирование процессов создания и оценки эффективности систем защиты информации. Киев, 2004.
18. Проект Положения по защите информации информационных систем и ресурсов города Москвы
19. 19.Регламент Правительства Москвы (утвержденный постановлением Правительства Москвы от 17 сентября 2002 г. N 754-ПП)
20. Положением по аттестации объектов информатизации по требованиям безопасности информации. Утверждено Председателем Гостехкомиссии России 25.11.94
21. Проект Положения о реестре конфиденциальной информации, обрабатываемой в ИСиР
22. Итоговый научно-технический отчет «Разработка и реализация мероприятий по информационной безопасности» Мероприятие 1.2.3.1. ГЦП «Электронная Москва», 2003.
23. Создание и развитие удостоверяющего центра, выдающего сертификаты ключей ЭЦП. Мероприятие 1.2.3.2. ГЦП «Электронная Москва». РМАГ.425000.012.П2.03. Пояснительная записка, 2004.
24. Временные требования к информационной безопасности удостоверяющих центров, ФАПСИ при Президенте РФ.
25. РД. Автоматизированные системы. Защита от НСД к информации. Классификация автоматизированных систем и требования по защите информации. Гостехкомиссия России.1992.
26. Емельянов С.В., Борисов В.И., Малевич А.А., Черкашин А.М. Модели и методы векторной оптимизации. Техническая кибернетика, т.5, М. , ВИНИТИ, 1973.
27. Саати А., Кернс К. Аналитическое планирование. Организация систем.
М. :Радио и связь, 1991.
[1] В скобках приведен номер угрозы по перечню приложения 3 до ранжирования.