ДИПЛОМНАЯ РОБОТА
Разработка эффективных систем защиты информации в автоматизированных системах
Содержание
РЕФЕРАТ
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ
ВВЕДЕНИЕ
1. АНАЛИЗ НОРМАТИВНО-ПРАВОВОЙ БАЗЫ ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
1.1 Общие понятия и определения в области проектирования защищенных автоматизированных систем
1.2 Классификация автоматизированных систем
1.2.1 Особенности АС класса 1
1.2.2 Особенности АС класса 2 и 3
1.2.3 Системы информационной безопасности
1.3 Порядок создания комплексной системы защиты информации
1.3.1 Анализ структуры автоматизированной информационной системы
1.3.2 Определение технического решения
1.3.3 Реализация и эксплуатация КСЗИ
Выводы по разделу 1
2. ОБОСНОВАНИЕ НАПРАВЛЕНИЙ СОЗДАНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
2.1 Оценка необходимости защиты информации от НСД
2.2 Требования к защите информации от НСД в АС
2.2.1 Требования к защите конфиденциальной информации
2.2.2 Требования к защите секретной информации
2.3 Основные принципы защитных мероприятий от НСД в АС
2.4 Математический анализ эффективности защитных мероприятий
Выводы по разделу 2
3. РАЗРАБОТКА МЕТОДИКИ ОЦЕНКИ ЭФФЕКТИВНОСТИ ЗАЩИТНЫХ МЕРОПРИЯТИЙ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
3.1 Общие принципы оценки эффективности защитных мероприятий
3.2 Подход к оценке эффективности защитных мероприятий
Выводы по разделу 3
4. ВЫБОР ПУТЕЙ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ ЗАЩИТНЫХ МЕРОПРИЯТИЙ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
4.1 Выбор контролируемых параметров по максимальным значениям (с учетом защиты канала)
4.2 Выбор контролируемых параметров по заданному коэффициенту готовности
4.3 Выбор контролируемых параметров по максимальному значению вероятности безотказной работы после проведения диагностики
4.4 Оценка оптимального времени между проведением функциональных проверок информационного канала
Выводы по разделу 4
5. РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО ИСПОЛЬЗОВАНИЮ УСТРОЙСТВ, МЕТОДОВ И МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
5.1 Организационные мероприятия
5.1.1 Рекомендации по категорированию информации в информационной системе предприятия
5.1.2 Рекомендации по категорированию пользователей информационной системы предприятия
5.2 Инженерно-технические мероприятия
5.2.1 Рекомендации по устранению несанкционированного использования диктофона
5.2.2 Рекомендации по защите информации постановкой помех
5.3 Рекомендации по защите информации, обрабатываемой в автоматизированных системах
Выводы по разделу 5
ОХРАНА ТРУДА
Методы защиты от электромагнитных полей
Электробезопасность
ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ
ВЫВОДЫ И РЕКОМЕНДАЦИИ
СПИСОК ИСТОЧНИКОВ
ПРИЛОЖЕНИЕ А. Основные инструкции и правила для пользователей и обслуживающего персонала
А.1 Инструкция пользователя по соблюдению режима информационной безопасности
А.1.1 Общие требования
А.1.2 Работа в автоматизированной информационной системе
А.2 Инструкция по безопасному уничтожению информации и оборудования
А.3 Правила парольной защиты
А.4 Правила защиты от вредоносного программного обеспечения
А.5 Правила осуществления удаленного доступа
А.6 Правила осуществления локального доступа
ПРИЛОЖЕНИЕ Б. Рекомендуемые современные средства поиска от утечки и защиты информации в помещениях
Комплекс контроля радиоэлектронной обстановки и выявления средств несанкционированного съема информации ТОР
Анализатор проводных коммуникаций LBD-50
Комплекс виброакустической защиты объектов информатизации 1-й категории БАРОН
Телефонный модуль для комплексной защиты телефонной линии от прослушивания ПРОКРУСТ-2000
Система защиты информации Secret Net 4.0
РЕФЕРАТ
Пояснювальна записка
до випускної кваліфікаційної роботи спеціаліста «Розробка ефективних систем захисту інформації в автоматизованих системах» складається з 117 стор., містить 11 малюнків, 7 таблиць, перелік посилань з 43 найменувань.
Об’єкт дослідження
– комплексна система захисту інформації в автоматизованих системах.
Метод дослідження
– системний аналіз методів та засобів захисту інформації від витоку.
В результаті виконання ВКР спеціаліста проаналізовано: нормативно-правову базу та сучасні підходи в галузі проектування комплексних систем захисту інформації, запропоновано підхід щодо оцінки ефективності проведення захисних заходів в автоматизованих системах, проведений математичний аналіз ефективності захисних заходів, запропоновані шляхи щодо покращення захисних заходів від НСД в автоматизованих системах. Розроблені рекомендації щодо методів організаційного та інженерно-технічного захисту інформації в автоматизованих системах
Результати виконаної ВКР спеціаліста рекомендується використовувати для досліджень, що проводяться студентами в навчальному процесі та для обґрунтування системи захисту інформаційної системи на підприємстві.
Ключові слова:
АВТОМАТИЗОВАНА СИСТЕМА, ІНФОРМАЦІЙНА БЕЗПЕКА, КОМПЛЕКСНА СИСТЕМА.
ABSTRACT
Explanatory message
to final qualifying work of specialist «Development of the effective systems of priv in CASS» consists of 117 р., contains 11 pictures, 7 tables, list of references from 43 names.
A research object
is the complex system of priv in CASS.
A research method
is an analysis of the systems of methods and facilities of priv from a source.
As a result of implementation of final qualifying work of specialist is analyzed: normatively legal base and modern approaches in industry of planning of the complex systems of priv, offered approach in relation to the estimation of efficiency of lead through of protective measures in CASS, the mathematical analysis of efficiency of protective measures is conducted, offered ways in relation to the improvement of protective measures from NSD in CASS. The developed recommendations are in relation to the methods of organizational and technical priv in CASS
The results of executed final qualifying work of specialist it is recommended to draw on for researches which are conducted students in an educational process and for the ground of the system of defense of the informative system on an enterprise.
Keywords:
CAS, INFORMATIVE SAFETY, COMPLEX SYSTEM.
ПЕРЕЧЕНЬ СОКРАЩЕНИЙ
АИС (АС) – Автоматизированная информационная система
ВТСС – Вспомогательные технические средства и системы
ГСССЗИ – Государственная служба специальной связи и защиты информации
ЗМ – Защитные мероприятия
ЗП – Защищаемое помещение
ИТС – Информационно-телекоммуникационная система
КЗ – Контролируемая зона
КСЗИ – Комплексная система защиты информации
НСД – Несанкционированный доступ
ОТСС – Основные технические средства и системы
СВТ – Средства вычислительной техники
СИБ – Системы информационной безопасности
СЗИ – Системы защиты информации
ТЗ – Техническое задание
ТРП – Техническо-рабочий проект
ЭВМ – Электронно0вычислительная машина
ВВЕДЕНИЕ
Информационная безопасность – сравнительно молодая, быстро развивающаяся область информационных технологий. Словосочетание информационная безопасность в разных контекстах может иметь различный смысл. Состояние защищенности национальных интересов в информационной сфере определяется совокупностью сбалансированных интересов личности, общества и государства.
Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Вместе с тем, защита информации – это комплекс мероприятий направленных на обеспечение информационной безопасности.
С методологической точки зрения правильный подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Говоря о системах безопасности, нужно отметить, что они должны не только и не столько ограничивать допуск пользователей к информационным ресурсам, сколько определять и делегировать их полномочия в совместном решении задач, выявлять аномальное использование ресурсов, прогнозировать аварийные ситуации и устранять их последствия, гибко адаптируя структуру в условиях отказов, частичной потери или длительного блокирования ресурсов.
Не стоит, однако, забывать об экономической целесообразности применения тех или иных мер обеспечения безопасности информации, которые всегда должны быть адекватны существующим угрозам.
Параллельно с развитием средств вычислительной техники и появлением все новых способов нарушения безопасности информации развивались и совершенствовались средства защиты. Необходимо отметить, что более старые виды атак никуда не исчезают, а новые только ухудшают ситуацию. Существующие сегодня подходы к обеспечению защиты информации несколько отличаются от существовавших на начальном этапе. Главное отличие современных концепций в том, что сегодня не говорят о каком-то одном универсальном средстве защиты, а речь идет о КСЗИ, включающей в себя:
- нормативно-правовой базис защиты информации;
- средства, способы и методы защиты;
- органы и исполнителей.
Другими словами, на практике защита информации представляет собой комплекс регулярно используемых средств и методов, принимаемых мер и осуществляемых мероприятий с целью систематического обеспечения требуемой надежности информации, генерируемой, хранящейся и обрабатываемой на объекте АС, а также передаваемой по каналам. Защита должна носить системный характер, то есть для получения наилучших результатов все разрозненные виды защиты информации должны быть объединены в одно целое и функционировать в составе единой системы, представляющей собой слаженный механизм взаимодействующих элементов, предназначенных для выполнения задач по обеспечению безопасности информации.
Более того, КСЗИ предназначена обеспечивать, с одной стороны, функционирование надежных механизмов защиты, а с другой - управление механизмами защиты информации. В связи с этим должна предусматриваться организация четкой и отлаженной системы управления защитой информации.
Приведенные факты делают проблему проектирования эффективных систем защиты информации актуальной на сегодняшний день.
В данной работе рассмотрены основные принципы создания КСЗИ для АИС.
Целью работы является «Исследование современных систем защиты информации в АС».
Для достижения поставленной цели, в ходе выполнения работы решались следующие задачи:
- анализ нормативно-правовой базы обеспечения защиты информации в АС, а также проектирования защищенных АС;
- исследование степени защищенности современных АС с последующей оценкой эффективности ее защитных мероприятий;
- выбор путей повышения эффективности защитных мероприятий в АС;
- разработка рекомендаций по использованию защитных мероприятий в АС.
Таким образом, объектом исследования является защищенная АС, а предметом – используемые защитные мероприятия.
Наряду с существующими нормативно-правовыми документами [1–5,7-8,10-14] теоретическую базу исследований составляют труды известных ученых в области защиты информации от утечки по техническим каналам: В.В. Домарева [21], А.А. Хорева [38-40] и др.
Практические результаты основываются на исследовании эффективности организационных и инженерно-технических мероприятий по защите информации в АС.
Квалификационная работа специалиста состоит из введения, пяти разделов, заключения, списка использованной литературы и приложений.
В первом разделе проводиться анализ современной нормативно-правовой базы в области защиты информации, а также проектирования защищенных АС. Также был проанализирован современный метод построения КСЗИ, в соответствии с нормативными документами технической защиты информации Украины.
Во втором разделе были проанализированы основные принципы защитных мероприятий в АС для дальнейшего повышения их эффективности. В основе данного анализа была проведена оценка необходимости защиты информации от НСД, на основании которой были определены требования по защите информации от НСД. На основании таких требований и формируются защитные мероприятия для конкретных АС, а проведенный математический анализ эффективности таких мероприятий позволяет улучшать качество и надежность системы защиты.
В третьем разделе были рассмотрены общие принципы их оценки эффективности. На основании этого была предложена методика оценки эффективности защитных мероприятий, использование которой предполагает лишь наличие данных о необходимых требованиях защищённости и данных о полноте выполнения этих требований.
В четвертом разделе предложены возможные пути оптимизации защитных мероприятий в АС. В качестве такой оптимизации рассматривается выбор контролируемых параметров по различных показателям эффективности.
Пятый раздел содержит разработанные рекомендации по улучшению организационных и инженерно-технических мероприятий по защите информации в АС.
В заключении приведены основные результаты исследований.
Список использованной литературы содержит 41 наименование.
В приложении содержатся материалы иллюстративного характера, фотографии и технические характеристики некоторых защитных устройств, а также приведен ряд инструкций и правил для пользователей и обслуживающего персонала.
1
АНАЛИЗ НОРМАТИВНО-ПРАВОВОЙ БАЗЫ ОБЕЧПЕЧЕНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
Бурный рост конфиденциальной и коммерческой информации, а также существенное увеличение фактов ее хищения вызывает повышенный интерес все большего числа организаций к созданию собственных защищенных информационных систем.
Проектирование защищенных информационных систем процесс довольно сложный, который предполагает наличие соответствующих знаний и опыта, у ее создателей.
Потребитель может не вникать в разработку такого проекта и подробности его развития, однако он обязан контролировать каждый его этап на предмет соответствия техническому заданию и требованиям нормативных документов. В свою очередь, персональный опыт проектировщиков требует использования существующих нормативных документов в данной области для получения наиболее качественного результата.
Таким образом, процесс проектирования защищенных информационных систем должен основываться на знании и строгом выполнении требований существующих нормативных документов, как со стороны ее разработчиков, так и со стороны заказчиков.
1.1 Общие понятия и определения в области проектирования защищенных автоматизированных систем
Существующая в Украине нормативная база еще не достигла необходимого развития в данной области. Так, например, из огромного списка стандартов и нормативных документов Украины можно выделить лишь некоторые, которые могут быть использованы при проектировании защищенных АС [2-5].
Поэтому, при проведении данного рода работ, специалисты используют также международные (ISO) и межгосударственные (ГОСТы, утвержденные до 1992 года, включительно) стандарты [6].
Согласно одному из таких стандартов [7] АС представляет собой систему, состоящую из персонала и комплекса средств автоматизации его деятельности, реализующую информационную технологию выполнения установленных функций.
В зависимости от вида деятельности выделяют следующие виды АС: автоматизированные системы управления (АСУ), системы автоматизированного проектирования (САПР), автоматизированные системы научных исследований (АСНИ) и др.
В зависимости от вида управляемого объекта (процесса) АСУ делят на АСУ технологическими процессами (АСУТП), АСУ предприятиями (АСУП) и т.д.
В нашем случае АС представляет собой среду обработки информации, и также информационных ресурсов в информационно-телекоммуникационной системе. Поэтому в дальнейшем будем использовать понятие автоматизированная информационная система.
Закон Украины «Об информации» [1] трактует понятие «информация» в следующем виде: «под информацией понимается документируемые или публично объявленные сведения о событиях и явлениях, которые происходят в обществе, государстве и окружающей среде».
В свою очередь, защита информации в АС - деятельность, которая направлена на обеспечение безопасности обрабатываемой в АС информации и АС в целом, и позволяет предотвратить или осложнить возможность реализации угроз, а также снизить величину потенциальных убытков в результате реализации угроз [2].
Таким образом, АИС представляет собой сложную систему, которую целесообразно разделять на отдельные блоки (модули) для облегчения ее дальнейшего проектирования. В результате этого, каждый модуль будет независим от остальных, а в комплексе они будут составлять цельную систему защиты.
Выделение отдельных модулей АИС позволяет службе защиты информации:
- своевременно и адекватно реагировать на определенные виды угроз информации, которые свойственны определенному модулю;
- в короткие сроки внедрять систему защиты информации в модулях, которые только что появились;
- упростить процедуру контроля системы защиты информации в целом (под системой защиты информационной инфраструктуры предприятия в целом следует понимать совокупность модулей систем защиты информации).
Постепенно наращивая количество модулей, а также усложняя структуру защиты, АИС приобретает некую комплексность, которая подразумевает использование не одного типа защитных функций во всех модулях, а их произведение.
Таким образом, построение КСЗИ становится неотъемлемым фактором в разработке эффективной системы защиты от несанкционированного доступа.
Согласно [8] КСЗИ – совокупность организационных и инженерных мероприятий, программно-аппаратных средств, которые обеспечивают защиту информации в АС.
Отсюда видно, что, например, простым экранированием помещения при проектировании КСЗИ не обойтись, так как данный метод предполагает лишь защиту информации от утечки по радиоканалу.
В общем случае понятие «комплексность» представляет собой решение в рамках единой концепции двух или более разноплановых задач (целевая комплексность), или использование для решения одной и той же задачи разноплановых инструментальных средств (инструментальная комплексность), или то и другое (всеобщая комплексность).
Целевая комплексностьозначает, что система информационной безопасности должна строиться следующим образом:
- защита информации, информационных ресурсов и систем личности, общества и государства от внешних и внутренних угроз;
- защита личности, общества и государства от негативного информационного воздействия.
Инструментальная комплексностьподразумевает интеграцию всех видов и направлений ИБ для достижения поставленных целей.
Современная система защиты информации должна включать структурную,функциональную и временную комплексность.
Структурная комплексностьпредполагает обеспечение требуемого уровня защиты во всех элементах системы обработки информации.
Функциональная комплексность означает, что методы защиты должны быть направлены на все выполняемые функции системы обработки информации.
Временная комплексностьпредполагает непрерывность осуществления мероприятий по защите информации, как в процессе непосредственной ее обработки, так и на всех этапах жизненного цикла объекта обработки информации.
1.2 Классификация автоматизированных систем
Нормативным документом [4] предполагается деление АС на 3 класса:
Класс 1 — одномашинный однопользовательский комплекс, который обрабатывает информацию одной или нескольких категорий конфиденциальности. Пример — автономная персональная ЭВМ, доступ к которой контролируется с использованием организационных мероприятий.
Класс 2 — локализированный многомашинный многопользовательский комплекс, обрабатывающий информацию разных категорий конфиденциальности. Пример — локальная вычислительная сеть.
Класс 3 – распределенный многомашинный многопользовательский комплекс, который обрабатывает информацию разных категорий конфиденциальности. Пример — глобальная вычислительная сеть.
1.2.1 Особенности АС класса 1
Информация с ограниченным доступом, а именно: конфиденциальная информация, принадлежащая государству, и информация, содержащая государственную тайну, создается, обрабатывается и хранится в режимно-секретном (РСО) органе. Такая информация, в большинстве случаев, обрабатывается с использованием АС класса 1,которые имеют следующие особенности:
- в каждый момент времени с комплексом может работать только один пользователь, хотя в общем случае лиц, которые имеют доступ к комплексу, может быть несколько, но все должны иметь одинаковые полномочия (права) относительно доступа к обрабатываемой информации;
- технические средства (носители информации и средства ввода / вывода), с точки зрения, защищенности относятся к одной категории и все они могут использоваться для хранения и/ или ввода/ вывода всей информации.
Для проведения работ, связанных с построением КСЗИ РСО, специалистам организации исполнителя должен быть оформлен допуск к государственной тайне.
При создании КСЗИ РСО используются только те технические средства защиты информации, которые имеют экспертное заключение или сертификат соответствия государственной службы специальной связи и защиты информации (ГСССЗИ) Украины, применение других технических средств защиты информации запрещено.
Методика проведения работ по построению КСЗИ АС класса 1базируется на следующих исходных данных:
- Объект защиты — рабочая станция.
- Защита информации от утечки по техническим каналам осуществляется за счет использования рабочей станции в защищенном исполнении или специальных средств.
- Защита от несанкционированного доступа к информации осуществляется специальными программными или аппаратно-программными средствами защиты от несанкционированного доступа.
- Защита компьютера от вирусов, троянских и шпионских программ — антивирусное программное обеспечение.
1.2.2 Особенности АС класса 2 и 3
В основном в АС класса 2 и класса 3 обрабатывается конфиденциальная или открытая информация, которая принадлежит государству и к которой выдвигаются требования по обеспечению целостности и доступности.
Особенности АС класса 2: наличие пользователей с разными полномочиями по доступу и/или технических средств, которые могут одновременно осуществлять обработку информации разных категорий конфиденциальности.
Особенности АС класса 3: необходимость передачи информации через незащищенную среду или, в общем случае, наличие узлов, которые реализуют разную политику безопасности.
АС класса 3 отличается от АС класса 2 наличием канала доступа в Интернет.
Так же, как и для создания КСЗИ РСО, для создания КСЗИ АС класса 2 и класса 3 организация-исполнитель должна иметь лицензию на проведение работ в сфере технической защиты информации, а также использовать сертифицированные технические средства защиты информации.
Методика проведения работ по построению КСЗИ АС класса 2 (3) базируется на следующих исходных данных:
- Объектами защиты являются рабочие станции, каналы передачи данных, веб-серверы, периметр информационной системы и т. д.
- Защита от несанкционированного доступа осуществляется с помощью базовых средств операционной системы или с использованием специальных программных, аппаратно-программных средств.
- Защита каналов передачи данных через незащищенную среду — аппаратные, программные, аппаратно-программные средства шифрования информации.
- Защита периметра — программные, аппаратные межсетевые экраны, системы обнаружения атак.
- Защита компьютера (сети) от вирусов, троянских и шпионских программ — антивирусное программное обеспечение.
- Защита электронного документооборота и электронной почты — использование средств электронной цифровой подписи.
Потребителями КСЗИ АС класса 2 и класса 3 являются органы государственной власти, а также предприятия, деятельность которых связана с обработкой конфиденциальной информации, принадлежащей государству.
1.2.3 Системы информационной безопасности
Выделяют еще один тип АС [9] – системы информационной безопасности (СИБ).
СИБ представляют собой решение, направленное на обеспечение защиты критичной информации организации от разглашения, утечки и несанкционированного доступа. Как и КСЗИ, СИБ объединяет в себе комплекс организационных мероприятий и технических средств защиты информации.
СИБ в основном предназначены для защиты информации в АС класса 2 и класса 3. Однако между КСЗИ и СИБ есть принципиальные отличия.
Первое отличие заключается в том, что при построении СИБ нет необходимости выполнять требования нормативных документов в сфере технической защиты информации, так как основными потребителями СИБ являются коммерческие организации, которые не обрабатывают информацию, принадлежащую государству. Вторым принципиальным отличием является отсутствие контролирующего органа, и, как следствие, спроектированная СИБ не требует проведения государственной экспертизы. Еще одно отличие от КСЗИ — свободный выбор технических средств, возможное применение любых аппаратных и программных средств защиты информации.
СИБ можно рекомендовать коммерческим организациям, которые заботятся о сохранности своей коммерческой (критичной) информации или собираются принимать меры по обеспечению безопасности своих информационных активов.
Для определения необходимости построения СИБ и направления работ по защите информации, а также для оценки реального состояния информационной безопасности организации необходимо проводить аудит информационной безопасности.
Применительно к КСЗИ РСО и КСЗИ АС класса 2 и класса 3 проведение такого аудита тоже является первым этапом работ. Такие работы называются обследованием информационной инфраструктуры организации.
Важным моментом, который касается эксплуатации как КСЗИ АС класса 2 и класса 3, так и СИБ, является тот факт, что недостаточно просто построить и эксплуатировать эти системы защиты, необходимо постоянно их совершенствовать так же, как совершенствуются способы несанкционированного доступа, методы взлома и хакерские атаки.
Сравнительный анализ всех перечисленных систем защиты информации представлен в таблице 1.
Как мы видим, более жесткие требования выдвинуты к процессу построения КСЗИ и исполнителю этих работ по сравнению с требованиями к построению СИБ.
В дальнейшем, при проектировании системы защиты будем брать за основу АС класса 1 и 2, так как именно эти системы обработки информации представляют наиболее огромный интерес у злоумышленника с точки зрения ее хищения.
Таблица 1.1 – Сравнительный анализ систем защиты информации
Особенности КСЗИ | РСО КСЗИ | АС класса 2 (3) | СИБ |
Потребители услуг | Органы государственной власти, коммерческие организации | Органы государственной власти, коммерческие организации | Коммерческие организации |
Обрабатываемая информация |
Конфиденциальная информация, которая принадлежит государству, или информация, которая содержит государственную тайну | Конфиденциальная информация, которая принадлежит государству (физическому лицу), или открытая информация, которая принадлежит государству | Критическая информация организации (персональная, финансовая, договорная информация, информация о заказчиках) |
Субъекты | Заказчик Исполнитель Контролирующий орган |
Заказчик Исполнитель Контролирующий орган |
Заказчик Исполнитель |
Наличие лицензии на проведение работ по построению | Лицензия на проведение работ по технической защите информации | Лицензия на проведение работ по технической защите информации | Не требуется |
Проведение государственной экспертизы |
Обязательно | Обязательно | Не требуется |
Технические средства защиты информации |
Только сертифицированные средства защиты информации |
Только сертифицированные средства защиты информации |
Любые средства защиты информации |
Выполнение требований нормативной базы |
Обязательно | Обязательно | Не требуется |
1.3 Порядок создания комплексной системы защиты информации
Создание КСЗИ в ИТС осуществляется в соответствии с нормативным документом системы технической защиты информации [10] на основании технического задания (далее - ТЗ), разработанного согласно требованиям нормативного документа системы технической защиты информации [5]. Кроме того, при проектировании КСЗИ можно руководствоваться стандартом [11].
В состав КСЗИ входят мероприятия и средства, которые реализуют способы, методы, механизмы защиты информации от:
- утечки техническими каналами, к которым относятся каналы побочных электромагнитных излучений и наводок, акустоэлектрических и других каналов;
- несанкционированных действий и несанкционированного доступа к информации, которые могут осуществляться путем подключения к аппаратуре и линиям связи, маскировки под зарегистрированного пользователя, преодоление мероприятий защиты с целью использования информации или навязывания ошибочной информации, применение закладных устройств или программ, использование компьютерных вирусов и т.п.;
- специального влияния на информацию, которое может осуществляться путем формирования полей и сигналов с целью нарушения целостности информации или разрушения системы защиты.
Для каждой конкретной ИТС состав, структура и требования к КСЗИ определяются свойствами обрабатываемой информации, классом АС и условиями ее эксплуатации.
В общем случае, последовательность и содержание научно-исследовательской разработки КСЗИ можно предварительно разделить на 4 этапа (рис 1.1).
Несмотря на простоту структуры разработки КСЗИ, большинство организаций придерживается именно этого алгоритма. Однако данный алгоритм – это лишь основа проектирования. Каждый представленный этап отражает множество уровней в ходе проектирования, в зависимости от структуры АС требования, предъявляемых к ее системе защиты. Рассмотрим эти этапы подробнее.
1.3.1 Анализ структуры автоматизированной информационной системы
Данная стадия разработки включает в себя следующие работы:
- проведение предпроектного обследования;
- разработка аналитического обоснования по созданию КСЗИ;
- разработка технического задания на создание КСЗИ.
В ходе данного этапа проводится анализ рисков. Для проверки способности информационной системы противостоять попыткам несанкционированного доступа и воздействия на информацию иногда целесообразно выполнять тесты на проникновение.
Существует несколько видов обследования [15]:
- предпроектное диагностическое обследование, которое выполняется при модернизации или построении СЗИ;
- аудит СЗИ на соответствие требованиям внутрикорпоративным стандартам или международным/национальным стандартам. Примером может служить сертификационный аудит системы управления ИБ по ISO 27001;
- специальные виды обследования, например, при расследовании компьютерных инцидентов.
Мировой опыт создания систем защиты для различного рода объектов позволяет выделить три основных элемента, присутствующих практически на любом объекте и требующих обеспечения их безопасности [16]:
- люди - персонал и посетители объекта;
- материальные ценности, имущество и оборудование;
- критичная информация - информация с различными грифами секретности.
Каждый из выделенных элементов имеет свои особенности, которые необходимо учесть при определении возможных угроз. По результатам анализа возможных угроз безопасности АС формируются требования к защите. Полная защита АС формируется из частных требований защиты элементов путем объединения функционально однородных требований по обеспечению защиты.
По результатам данного этапа определяются и формируются требования к защите. Полная защита АС формируется из частных требований защиты элементов путем объединения функционально однородных данных по обеспечению защиты. К таким данным относится защищаемая информация на основе документально оформленных перечней защищаемых сведений, угрозы безопасности информации и модель вероятного нарушителя, состав используемых технических средств и связи между ними, состав разработанной организационно-распорядительной документации, класс защищенности АС в защищенном исполнении. Принимаются решения, касающиеся состава технических средств и систем, предполагаемых к использованию в разрабатываемой системе, и мероприятий по обеспечению конфиденциальности информации на этапе проектирования системы.
1.3.2 Определение технического решения
В целом процесс проектирования можно разделить на следующие этапы [15,25]:
- подготовка ТЗ на создание системы защиты информации;
- создание модели СЗИ;
- разработка техническо-рабочего проекта (ТРП) создания СЗИ и архитектуры СЗИ. ТРП по созданию СЗИ включает следующие документы:
1) пояснительную записку, содержащую описание основных технических решений по созданию СЗИ и организационных мероприятий по подготовке СЗИ к эксплуатации;
2) обоснование выбранных компонентов СЗИ и определение мест их размещения. Описание разработанных профилей защиты;
3) спецификацию на комплекс технических средств СЗИ;
4) спецификацию на комплекс программных средств СЗИ;
5) определение настроек и режима функционирования компонентов СЗИ:
- разработка организационно-распорядительных документов системы управления ИБ (политик по обеспечению информационной безопасности, процедур, регламентов и др.);
- разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода СЗИ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы;
- реализация разрешительной системы допуска и организационно-технических мероприятий по защите информации в КСЗИ.
Проект должен включать в себя разделы, посвященные обеспечению автоматизации деятельности сотрудников организации, информационного обмена по высокоскоростным линиям связи, защиты информации. При необходимости разрабатываются задания и проекты на другие работы, например строительно-монтажные. На основе этого документа будет создаваться КСЗИ, поэтому он должен включать в себя описание всех внедряемых технических средств, их настройки, а также все необходимые организационные решения.
В состав разрабатываемой организационно-технической и эксплуатационной документации входят технический паспорт на КСЗИ, инструкции и руководства для пользователей, администраторов системы, по эксплуатации технических средств, приказы, акты и распоряжения, связанные с проектированием, внедрением, испытаниями и вводом в эксплуатацию системы.
Техническое задание на создание КСЗИ может разрабатываться для ИТС создаваемых впервые, а также во время модернизации уже существующих ИТС в виде отдельного раздела ТЗ на создание ИТС, отдельного (частичного) ТЗ или дополнения к ТЗ на создание ИТС.
В ТЗ излагаются требования к функциональному составу и порядку разработки и внедрение технических средств, которые обеспечивают безопасность информации в процессе ее обработки в вычислительной системе ИТС, а также требования к организационным, физическим и другим мероприятиям защиты, которые реализуются вне вычислительной системы ИТС в дополнение к комплексу программно-технических средств защиты информации.
Проект КСЗИ разрабатывается на основании и в соответствии с ТЗ. Во время разработки проекта КСЗИ обосновываются и принимаются проектные решения, которые дают возможность реализовать требования ТЗ, обеспечить совместимость и взаимодействие разных компонентов КСЗИ, а также разных мероприятий и способов защиты информации. В результате создается комплект рабочей и эксплуатационной документации, необходимой для обеспечения тестирования, проведение пусконаладочных работ, испытаний и управления КСЗИ.
Под реализацией разрешительной системы допуска и организационно-технических мероприятий по защите информации понимаются проведение следующих действий:
- определение состава субъектов доступа к защищаемой информации (сотрудников организации);
- ознакомление сотрудников с правилами обработки защищаемой информации и обеспечения информационной безопасности, наложение на всех пользователей персональной ответственности за разглашение вверенной им защищаемой информации путем подписи ими соответствующих документов;
- разработка и утверждение перечня защищаемых информационных ресурсов, матрицы доступа сотрудников к защищаемым ресурсам;
- определение состава носителей защищаемой информации и их маркировка;
- формирование журналов учета паролей, журналов учета персональных идентификаторов, журналов учета носителей защищаемой информации.
1.3.3 Реализация и эксплуатация КСЗИ
Работы по внедрению системы включают выполнение следующих задач:
- закупка, установка и настройка средств защиты информации в КСЗИ;
- проведение приёмо-сдаточных испытаний;
- аттестация КСЗИ на соответствие требованиям руководящих документов по безопасности информации (добровольная);
- обучение пользователей;
- ввод СЗИ в эксплуатацию.
Закупка, установка и настройка (тестирование) технических средств проводится согласно требованиям, приведенным в проекте на создание КСЗИ.
Тестирование КСЗИ производится в целях проверки ее функционирования в соответствии с установленными требованиями, а так же выявления недостатков и их устранения. Она осуществляется в соответствии с программой, в которой указываются условия и порядок функционирования АС в защищенном исполнении, продолжительность опытной эксплуатации, порядок устранения выявленных недостатков [17].
Приемо-сдаточные испытания производятся с целью проверки полноты и качества реализации системой своих функций в разных условиях функционирования. Они осуществляются в соответствии с программой, в которой указываются перечень испытываемых объектов и предъявляемых к ним требований, критерии приемки системы и их частей, условия и сроки проведения испытаний, методику испытаний и обработки результатов [17].
Во время приемо-сдаточных испытаний:
- отрабатывают технологии обработки информации, оборот машинных носителей информации, управление средствами защиты, разграничение доступа пользователей к ресурсам ИТС и автоматизированного контроля действий пользователей;
- сотрудники службы защиты информации и пользователи ИТС приобретают практические привычки по использованию технических и программно-аппаратных средств защиты информации, усваивают требования организационных и распорядительных документов по вопросам разграничения доступа к техническим средствам и информационным ресурсам;
- осуществляется (по необходимости) доработка программного обеспечения, дополнительное наладка и конфигурирование комплекса средств защиты информации от несанкционированного доступа;
- осуществляется (по необходимости) корректирование рабочей и эксплуатационной документации.
По результатам приемо-сдаточных испытаний принимается решение о готовности КСЗИ в ИТС к представлению на государственную экспертизу.
Проведение аттестации КСЗИ является добровольным, за исключением случая, когда в организации хранятся и обрабатываются сведения, собственником которых является государство. Аттестация производится в целях проверки соответствия, системы защиты информации, требованиям, установленным нормативными документами Государственной службы специальной связи и защиты информации (ГСССЗИ). Проведение аттестации КСЗИ осуществляется в соответствии с программой и методикой аттестационных испытаний. По результатам испытаний составляется заключение и. в случае положительного решения аттестационной комиссии, выдается аттестат соответствия объекта информатизации требованиям по безопасности информации.
В качестве согласования установленной системы с рабочим персоналом проводятся мероприятия по их обучению. Такие мероприятия позволят, как правило, устранить некорректное использование установленных компонентов системы (оборудование, программное обеспечение и т.д.), появления ошибок и других угроз, возникающих со стороны персонала.
Последний этап предусматривает ведение постоянного контроля состояния КСЗИ, ее работы в соответствии с разработанным регламентом и требовании на ее эксплуатацию. Кроме того, для поддержания качества работы системы необходимо проводить проверку эффективности средств и методов защиты.
Выводы по разделу 1
Установлен перечень основных нормативно-правовых документов регламентирующих проектирование АИС в защищенном исполнении.
На основании этих документов, проведен анализ АС, в результате которого существует 3 класса таких систем по степени сложности и доступа к информации, циркулирующей в них.
Проанализированы особенности каждого класса АС. Наиболее требовательными к защите являются 1-й и 2-й классы.
Установлено, что для проектирования эффективной системы защиты необходимо АИС представить в виде различных модулей. В результате этого, используемые защитные мероприятия для каждого модуля будут независимы друг от друга, а в целом система защиты будет являться комплексной.
Проанализирован порядок создания КСЗИ. Установлено, что такая разработка обычно состоит из четырех этапов. Наиболее ответственным является третий этап, так как именно на данном этапе реализуются все защитные мероприятия по требованиям и техническому решению, принятым на предыдущих этапах.
2
ОБОСНОВАНИЕ НАПРАВЛЕНИЙ СОЗДАНИЯ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
Для каждого типа угроз, возникающих при функционировании системы информационной безопасности, может быть одна или несколько мер противодействия. В связи с неоднозначностью выбора мер противодействия необходим поиск некоторых критериев, в качестве которых могут быть использованы надежность обеспечения сохранности информации и стоимость реализации защиты. Принимаемая мера противодействия с экономической точки зрения будет приемлема, если эффективность защиты с ее помощью, выраженная через снижение вероятного экономического ущерба, превышает затраты на ее реализацию. В этой ситуации можно определить максимально допустимые уровни риска в обеспечении сохранности информации и выбрать на этой основе одну или несколько экономически обоснованных мер противодействия, позволяющих снизить общий риск до такой степени, чтобы его величина была ниже максимально допустимого уровня. Из этого следует, что потенциальный нарушитель, стремящийся рационально использовать предоставленные ему возможности, не будет тратить на выполнение угрозы больше, чем он ожидает выиграть. Следовательно, необходимо поддерживать цену нарушения сохранности информации на уровне, превышающем ожидаемый выигрыш потенциального нарушителя. Рассмотрим эти подходы.
Утверждается, что большинство разработчиков средств вычислительной техники рассматривает любой механизм аппаратной защиты как некоторые дополнительные затраты с желанием за их счет снизить общие расходы. При решении на уровне руководителя проекта вопроса о разработке аппаратных средств защиты необходимо учитывать соотношение затрат на реализацию процедуры и достигаемого уровня обеспечения сохранности информации. Поэтому разработчику нужна некоторая формула, связывающая уровень защиты и затраты на ее реализацию, которая позволяла бы определить затраты на разработку потребных аппаратных средств, необходимых для создания заранее определенного уровня защиты. В общем виде такую зависимость можно задать исходя из следующих соображений. Если определять накладные расходы, связанные с защитой, как отношение количества использования некоторого ресурса механизмом управления доступом к общему количеству использования этого ресурса, то применение экономических рычагов управления доступом даст накладные расходы, приближающиеся к нулю.
2.1 Оценка необходимости защиты информации от НСД
При оценке необходимости защиты предприятия от несанкционированного доступа к информации можно считать, что полные затраты (потери) определятся выражением, которое нужно минимизировать
,(2.1)
где полные потери
,(2.2)
Rнез.сд
. – прибыль от незаключенных сделок;
Rсорв.сд
. – прибыль от сорванных сделок;
стоимость затрат на информационную защиту
,(2.3)
Rапп
. - затраты на аппаратуру;
Rэкс
. - эксплуатационные затраты;
Rреж
. - затраты на организацию режима на предприятии;
Рпи
- вероятность потерь информации;
Рнпи
- условная вероятность необнаружения потерь информации;
Ропи =(1-Рнпи)
- вероятность отсутствия потерь информации, (так как они составляют полную группу событий);
Роопи
- условная вероятность ошибки в обнаружении потерь информации.
При этом надо учитывать, что Рнпи
- 1
при отсутствии аппаратных средств контроля, а Rооп
- 0
при полном охвате контролем.
Учитывая необходимость минимизации выражения полных потерь, целесообразность использования защиты будет при соблюдении условия
.
Практически это можно определить по формуле
.
При этом k=(2-5) и он выбирается больше при большем вложении в это предприятие (страховочный подход).
Вероятность не обнаружения потерь информации
.
Учитывая определенный опыт нескольких предприятий, можно
считать, что:
P1
=0,1 - при установке аппаратуры по защите от подслушивания в помещении;
Р2
=0,1-0,2 - при установке аппаратуры по защите от подслушивания по телефону;
Р3
=0,1-0,2- при проведении мероприятий по защите компьютерных сетей;
Р4 =0,1 - при введении на предприятии особого режима;
Р5 =0,1 -при защите от записи на диктофон.
Несмотря на другой (с точки зрения знака и природы) характер зависимости вероятность ошибки в обнаружении потерь информации можно приближенно определить как
.
Таким образом, применение такого подхода в оценке необходимости защиты информации безусловно правомерно на предварительном этапе решения, поскольку не требует большого количества статистических данных.
2.2
Требования к защите информации от НСД
в АС
Защиту информации от НСД в Украине на сегодняшний день регламентируют нормативные документы [2,3,8,12-14].
Учитывая данные нормативные документы, а также акцентируемые классы АС (класс 1 и 2), современный рынок средств защиты конфиденциальной информации можно условно разделить на две группы:
- средства защиты для госструктур, позволяющие выполнить требования нормативно-правовых документов, а также требования нормативно-технических документов (государственных стандартов, нормативных документов ГСССЗИ и т.д.);
- средства защиты для коммерческих компаний и структур, позволяющие выполнить рекомендации ISO/IEC 17799:2002 (BS 7799-1:2000) «Управление информационной безопасностью – Информационные технологии. – Information technology – Information security management».
Требования к защите информации от НСД могут накладываться различные.
Во-первых, на это влияет класс АС, который подразумевает обработку информации разных категорий. Рассмотренная ранее классификация АС, подробно описывает данную характеристику.
Во-вторых, важность объекта и стоимость (важность) информации. Если объект, является информационно важным (не говоря уже о государственном объекте, так как на этот случай необходимо руководствоваться исключительно нормативными документами), то в таком случае следует производить оценку информационных ресурсов, информационной системы в целом на определение ее важности (провести аудит информационной безопасности). После этого, как отдельным этапом, формируются требования к защите данного объекта.
Одним из требований обеспечения защиты информации в АС, согласно [14] является то, что обработка в АС конфиденциальной информации должна осуществляется с использованием защищенной технологии.
Технология обработки информации является защищенной, если она содержит программно-технические средства защиты и организационные мероприятия, которые обеспечивают выполнение общих требований по защите информации.
Общие требования предусматривают [14]:
- наличие перечня конфиденциальной информации, которая подлежит автоматизированной обработке; в случае необходимости возможна ее классификация в пределах категории по целевому назначению, степенью ограничения доступа отдельной категории пользователей и другими классификационными признаками;
- наличие определенного (созданного) ответственного подраздела, которому предоставляются полномочия относительно организации и внедрения технологии защиты информации, контроля за состоянием защищенности информации (дальше - служба защиты в АС, СЗИ);
- создание КСЗИ, которая являет собой совокупность организационных и инженерно-технических мероприятий, программно-аппаратных средств, направленных на обеспечение защиты информации во время функционирования АС;
- разработку плана защиты информации в АС, содержание которого определенно в приложении к НД ТЗИ 1.4-001;
- наличие аттестата соответствия КСЗИ в АС нормативным документам по защите информации;
- возможность определения средствами КСЗИ нескольких иерархических уровней полномочий пользователей и нескольких классификационных уровней информации;
- обязательность регистрации в АС всех пользователей и их действий относительно конфиденциальной информации;
- возможность предоставления пользователям только при условии служебной необходимости санкционированного и контролируемого доступа к конфиденциальной информации, которая обрабатывается в АС;
- запрет несанкционированной и неконтролируемой модификации конфиденциальной информации в АС;
- осуществление с помощью СЗИ учета выходных данных, полученных во время решения функциональной задачи, в форме отпечатанных документов, которые содержат конфиденциальную информацию, в соответствии с руководящими документами [14];
- запрет несанкционированного копирования, размножения, распространения конфиденциальной информации, в электронном виде;
- обеспечение с помощью СЗИ контроля за санкционированным копированием, размножением, распространением конфиденциальной информации, в электронном виде;
- возможность осуществления однозначной идентификации и аутентификации каждого зарегистрированного пользователя;
- обеспечение КСЗИ возможности своевременного доступа зарегистрированных пользователей АС к конфиденциальной информации.
Приведенные требования являются базовыми и применяются при защите информации от НСД во всех типах АС.
Условно разделив, АС на важнейшие подсистемы обеспечения защиты информации (рис 2.1), можно перечислить также требования, предъявляемые для защиты компьютерной информации от НСД в АС для каждой отдельной подсистемы.
2.2.1
Требования к защите конфиденциальной информации
Подсистема управления доступом должна удовлетворять следующим требованиям:
- идентифицировать и проверять подлинность субъектов доступа при входе в систему. Причем это должно осуществляться по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
- идентифицировать терминалы, ЭВМ, узлы компьютерной сети, каналы связи, внешние устройства ЭВМ по их логическим адресам (номерам);
- по именам идентифицировать программы, тома, каталоги, файлы, записи и поля записей;
- осуществлять контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
Подсистема регистрации и учета должна:
- регистрировать вход (выход) субъектов доступа в систему (из системы), либо регистрировать загрузку и инициализацию операционной системы и ее программного останова. При этом в параметрах регистрации указываются:
1) дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
2) результат попытки входа — успешная или неуспешная (при НСД);
3) идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;
4) код или пароль, предъявленный при неуспешной попытке;
- регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС;
- регистрировать выдачу печатных (графических) документов на «твердую» копию. При этом в параметрах регистрации указываются:
1) дата и время выдачи (обращения к подсистеме вывода);
2) краткое содержание документа (наименование, вид, код, шифр) и уровень его конфиденциальности;
3) спецификация устройства выдачи (логическое имя (номер) внешнего устройства);
4) идентификатор субъекта доступа, запросившего документ;
- регистрировать запуск (завершение) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. При этом в параметрах регистрации указывается:
1) дата и время запуска;
2) имя (идентификатор) программы (процесса, задания);
3) идентификатор субъекта доступа, запросившего программу (процесс, задание);
4) результат запуска (успешный, неуспешный — несанкционированный);
- регистрировать попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указывается:
1) дата и время попытки доступа к защищаемому файлу с указанием ее результата (успешная, неуспешная — несанкционированная);
2) идентификатор субъекта доступа;
3) спецификация защищаемого файла.
- регистрировать попытки доступа программных средств к дополнительным защищаемым объектам доступа (терминалам ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей). При этом в параметрах регистрации указывается:
1) дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная, несанкционированная;
2) идентификатор субъекта доступа;
3) спецификация защищаемого объекта [логическое имя (номер)];
- проводить учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);
- регистрировать выдачу (приемку) защищаемых носителей;
- осуществлять очистку (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. При этом очистка должна производиться однократной, произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов);
Подсистема обеспечения целостности должна:
- обеспечивать целостность программных средств системы защиты информации от НСД (СЗИ НСД), обрабатываемой информации, а также неизменность программной среды. При этом:
- целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;
- целостность программной среды обеспечивается использованием трансляторов с языка высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
- осуществлять физическую охрану СВТ (устройств и носителей информации). При этом должны предусматриваться контроль доступа в помещение АС посторонних лиц, а также наличие надежных препятствий для несанкционированного проникновения в помещение АС и хранилище носителей информации. Особенно в нерабочее время;
- проводить периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест-программ, имитирующих попытки НСД;
- иметь в наличии средства восстановления СЗИ НСД. При этом предусматривается ведение двух копий программных средств СЗИ НСД, а также их периодическое обновление и контроль работоспособности;
2.2.2
Требования к защите секретной информации
В общем случае требования к защите секретной информации схожи с требованиями к защите конфиденциальной информации, однако существуют принципиальные отличия. Так как секретная информация имеет высший ранг, то требования предъявляемые к ней на порядок выше. Поэтому, из-за сходства в требованиях этих двух категорий информации, отметим, только те пункты, которые относятся непосредственно к защите секретной информации.
Подсистема управления доступом должна:
- управлять потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации;
Подсистема регистрации и учета должна:
- регистрировать выдачу печатных (графических) документов на «твердую» копию. Данное действие должно указывать фактический объем выданного документа (количество страниц, листов, копий) и результат выдачи (успешный — весь объем, неуспешный);
- регистрировать попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указывается:
1) имя программы (процесса, задания, задачи), осуществляющих доступ к файлам;
2) вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т.п.);
- регистрировать попытки доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указывается:
1) имя программы (процесса, задания, задачи), осуществляющих доступ к файлам;
2) вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.);
- регистрировать изменения полномочий субъектов доступа, а также статуса объектов доступа. В параметрах регистрации указывается:
1) дата и время изменения полномочий;
2) идентификатор субъекта доступа (администратора), осуществившего изменения;
- осуществлять автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;
- проводить учет защищаемых носителей с регистрацией их выдачи (приема) в специальном журнале (картотеке);
- проводить несколько видов учета (дублирующих) защищаемых носителей информации;
- сигнализировать о попытках нарушения защиты;
Подсистема обеспечения целостности должна:
- осуществлять физическую охрану СВТ (устройств и носителей информации). При этом должно предусматриваться постоянное наличие охраны на территории здания и помещений, где находится АС. Охрана должна производиться с помощью технических средств охраны и специального персонала, а также с использованием строгого пропускного режима и специального оборудования в помещении АС;
- предусматривать наличие администратора или целой службы защиты информации, ответственных за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;
- проводить периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью специальных программных средств не реже одного раза в год;
- использовать только сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД;
Сравним две рассмотренные выше группы требований и их особенности для защиты информации различных категорий (конфиденциальной и секретной). Ясно, что ключевыми механизмами защиты, образующими основную группу механизмов защиты от НСД («Подсистема управления доступом») являются:
- идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия;
- контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.
Дополнительным требованием и принципиальным отличием при защите секретной информации является то, что механизмом защиты должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации.
Все три перечисленных механизма являются основополагающими. Связаны они следующим образом: все права доступа к ресурсам (разграничительная политика доступа к ресурсам) задаются для конкретного субъекта доступа (пользователя). Поэтому субъект доступа (пользователь) должен быть идентифицирован при входе в систему, соответственно, должна быть проконтролирована его подлинность. Обычно это делается путем использования секретного слова — пароля.
2.3 Основные принципы защитных мероприятий от НСД в АС
Проведя оценку необходимости защиты информации от НСД, становится вопрос о дальнейшем направлении проектирования системы защиты информации. Ведь именно по полученным результатам можно судить о сложности проектируемой системы. Имея такие результаты, необходимо оценить вероятность проявляемых угроз на информационную систему, а также сформировать модель нарушителя, после чего следует приступить к формированию защитных мероприятий. Опираясь на требования по защите информации от НСД, которые были рассмотрены ранее, можно привести основные принципы защитных мероприятий от НСД в АС.
Уточним, что одним из основных компонентов АС является автоматизированное рабочее место (АРМ) – программно технический комплекс АС (или средства вычислительной техники (СВТ)), предназначенный для автоматизации деятельности определенного вида. В простейшем случае АРМ представляется как ПЭВМ и работающий на ней пользователь.
Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки промышленного шпионажа [18].
Тут же приводятся основные принципы защиты информации от НСД, которые включают в себя:
- обеспечение защиты СВТ комплексом программно-технических средств;
- обеспечение защиты АС комплексом программно-технических средств и поддерживающих их организационных мер.
Однако такие защитные мероприятия необходимо начинать непосредственно с организационных мероприятий. Последние, в рамках системы защиты информации от НСД (СЗИ НСД) в АС, которые обрабатывают или хранят информацию, являющуюся собственностью государства и отнесенную к категории секретной, должны отвечать государственным требованиям по обеспечению режима секретности проводимых работ [18].
В свою очередь, в [19] предлагается закрытие каналов несанкционированного получения информации начинать с контроля доступа пользователей к ресурсам АС. Эта проблема решается путем ряда следующих принципов:
- ПРИНЦИП ОБОСНОВАННОСТИ ДОСТУПА. Данный принцип заключается в обязательном выполнении двух основных условий: пользователь должен иметь достаточную "форму допуска" для получения информации требуемого им уровня конфиденциальности, и эта информация необходима ему для выполнения его производственных функций. Заметим здесь, что в сфере автоматизированной обработки информации в качестве пользователей могут выступать активные программы и процессы, а также носители информации различной степени сложности. Тогда система доступа предполагает определение для всех пользователей соответствующей программно-аппаратной среды или информационных и программных ресурсов, которые будут им доступны для конкретных операций.
- ПРИНЦИП ДОСТАТОЧНОЙ ГЛУБИНЫ КОНТРОЛЯ ДОСТУПА. Средства защиты информации должны включать механизмы контроля доступа ко всем видам информационных и программных ресурсов АС, которые в соответствии с принципом обоснованности доступа следует разделять между пользователями.
- ПРИНЦИП РАЗГРАНИЧЕНИЯ ПОТОКОВ ИНФОРМАЦИИ. Для предупреждения нарушения безопасности информации, которое, например, может иметь место при записи секретной информации на несекретные носители и в несекретные файлы, ее передаче программам и процессам, не предназначенным для обработки секретной информации, а также при передаче секретной информации по незащищенным каналам и линиям связи, необходимо осуществлять соответствующее разграничение потоков информации.
- ПРИНЦИП ЧИСТОТЫ ПОВТОРНО ИСПОЛЬЗУЕМЫХ РЕСУРСОВ. Данный принцип заключается в очистке ресурсов, содержащих конфиденциальную информацию, при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям.
- ПРИНЦИП ПЕРСОНАЛЬНОЙ ОТВЕТСТВЕННОСТИ. Каждый пользователь должен нести персональную ответственность за свою деятельность в системе, включая любые операции с конфиденциальной информацией и возможные нарушения ее защиты, а также за случайные или умышленные действия, которые могут привести к несанкционированному ознакомлению с конфиденциальной информацией, ее искажению или уничтожению, либо исключению возможности доступа к такой информации законных пользователей.
- ПРИНЦИП ЦЕЛОСТНОСТИ СРЕДСТВ ЗАЩИТЫ. Данный принцип подразумевает, что средства защиты информации в АС должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей, а для своего сопровождения должны включать специальный защищенный интерфейс для средств контроля, сигнализации о попытках нарушения защиты информации и воздействия на процессы в системе
Реализация перечисленных принципов осуществляется с помощью так называемого "монитора обращений", контролирующего любые запросы к данным или программам со стороны пользователей (или их программ) по установленным для них видам доступа к этим данным и программам. Схематично такой монитор можно представить в виде, показанном на рис. 2.2.
Практическое создание монитора обращений, как видно из приведенного рисунка, предполагает разработку конкретных правил разграничения доступа в виде так называемой модели защиты информации.
Спроектировав модель защиты информации, необходимо проверить ее в действии. Однако реализация такой модели будет стоит заказчику больших затрат, если вдруг при ее реализации одна или несколько защитных функций системы не окажется эффективной. Поэтому целесообразно будет провести математический анализ эффективности защитных мероприятий.
2.4 Математический анализ эффективности защитных мероприятий
Любая система безопасности представляет собой организационно оформленные кадровые и материально-технические ресурсы и действует всегда во времени и пространстве угроз. Пространство угроз образуют объекты защиты - люди, работающие в коммерческой структуре, имущество и денежные средства предприятия, сведения, составляющие коммерческую или служебную тайну. Главная функция системы безопасности - противодействие угрозам с помощью людей и техники. Каждая угроза влечет за собой ущерб, а противодействие призвано снизить его величину, в идеале - полностью. Удается это далеко не всегда. Способность системы безопасности выполнять свою главную функцию всегда должна оцениваться количественно. К примеру, можно измерить относительный ущерб, предотвращенный ею (рис.2.3).
Рисунок 2.3 – Типичная зависимость эффективности Q0
и рентабельности r0
защиты от общих ресурсов
Величина Q0
- мера общей эффективности защиты. Чем больше Q0
, тем меньший ущерб создадут угрозы. Таким образом, мерой риска является величина(1—Q0
). Стремление обеспечить высокоэффективную защиту, когда Q0
близко к 1 (или 100%), вполне естественно, но это потребует значительных расходов на ресурсы. То есть чем выше совокупные ассигнования (В0
) на ресурсы, тем на большую эффективность защиты можно рассчитывать. Возникшая при этом зависимость видна на рис.2.3. Однако чрезмерные расходы на собственную безопасность не всегда оправданны экономически. Можно столкнуться с ситуацией, когда стоимость защиты (В0
) превысит уровень (R0
) максимального ущерба от реализации угроз. В этом случае возникает опасность угрозы «саморазорения» от защиты. Ее уровень также можно оценить, к примеру, величиной r разности относительного «защищенного» ущерба Q0
и относительных затрат B0
/P0
на ресурсы. Назовем эту величину рентабельностью защиты. Если она положительная (т.е. B0
<=P0
Q0
), то защита рентабельна. В отличие от эффективности, чем больше затраты (В0
), тем меньше рентабельность. Эта противоположность создает неоднозначную ситуацию в выборе стратегии защиты.
Рассмотрим типовую зависимость эффективности защиты (Q0
) и ее рентабельности (r0
) от максимального ущерба R0
(рис.2.4). По сути, это является мерой масштабности бизнеса. Нетрудно увидеть, что сделать защиту одновременно и высокоэффективной, и высокорентабельной под силу лишь крупным коммерческим структурам (область G), для которых характерны большие величины максимального ущерба. Достаточно, например, чтобы B0
=R0
(l-Q0
).Тогда при r®l,Q0
®l. В худшем положении оказываются интересы среднего (область М) и малого (область S) бизнеса, поскольку из-за ограниченности ресурсов выбор стратегии защиты более сложен. Здесь рекомендации просты. Надо обеспечить максимально возможную эффективность при положительном показателе рентабельности защиты. То есть в первую очередь следует противодействовать наиболее вероятным и опасным угрозам. В любом случае нельзя забывать об экономии ресурсов. Совершенно ясно, что выбор стратегии защиты облегчается, если при меньших затратах удастся обеспечить равную или даже большую эффективность защиты.
Очевидны и источники экономии затрат: использование более экономичных средств и решений универсального характера; рациональное распределение ресурсов и более совершенные формы управления ими; привлечение кооперативных форм обеспечения безопасности и др. Весь этот перечень присущ крупным коммерческим структурам, однако для среднего и малого бизнеса он, к сожалению, существенно сужается. Идеология их системы безопасности должна строиться на рентабельной защите лишь от отдельных видов угроз. В противном случае защита может себя не оправдать. Поэтому надо иметь в виду, что экономии ресурсов в этих условиях будут способствовать кооперативные формы защиты в рамках единой местной или региональной системы безопасности.
Выгоду кооперативных форм противодействия угрозам иллюстрирует рис.2.5.
Рисунок 2.4 – Зависимость эффективности и рентабельности защиты от максимального ущерба R0
На нем представлены характерные зависимости величины риска (R=R0
(1-Q0
) и общих затрат (В0
) на ресурсы от эффективности автономной (I) и кооперативной (II) защиты. Точка пересечения (А0
) зависимостей R(Q) и B(Q) для автономной защиты соответствует примерно области минимальных общих потерь
R0
(1-Q0
)+B0
. Экономия ресурсов выразится в том, что исходная зависимость (I) окажется «выше» новой зависимости (II), которая отображает кооперацию в использовании ресурсов. Соответственно новая точка пересечения кривых (А1) окажется правее прежней (А0
). Практически это означает, что при сохранении рентабельности защиты увеличивается ее эффективность. Причем выигрыш тем существенней, чем больше экономия. На практике в основном кооперируются по двум формам - материально-техническим и кадровым ресурсам, которые и являются составными частями общего. Что касается первой формы, то она характерна для ситуаций, когда пространство угроз не расширяется. Иными словами, объединяются лишь материально-технические средства одного и того же предприятия, но предназначенные для различных целей.
Рисунок 2.5 – Характерные зависимости риска R и расходов на ресурсы В0
как функций от эффективности защиты Q0
В качестве примера можно назвать комплексную систему имущественной и информационной защиты. К общим средствам можно отнести контрольно-пропускную систему, средства ограничения доступа, телевизионные и другие системы выявления и верификации угроз, средства пожаротушения и др. Эта форма эффективна лишь для крупного бизнеса. Вторую форму, то есть кооперацию по кадровым ресурсам, используют в основном при решении проблемы безопасности на региональном уровне, когда пространство угроз намеренно расширяется (рассматриваются несколько коммерческих предприятий в одном регионе). В этом случае объединение происходит лишь на уровне сил так называемого быстрого реагирования. Именно такие силы противодействуют несанкционированным и силовым проникновениям, терроризму, пожару и т.п. Проблему, как правило, решают и с привлечением сил быстрого реагирования пожарного надзора, органов МВД и др.
Рисунок 2.6 – Зависимость эффективности защиты Q0
от относительного времени Тр
/Ту
реакции системы с одновременным (I), опережающим (II) и запаздывающим (III) противодействием
Любая угроза и противодействие ей происходят, естественно, во времени и характеризуются определенными его масштабами. Исходя из этого ущерб от реализации угроз будет определяться тем, насколько полно данные события пересекаются во времени. Самый нежелательный вариант - запаздывающее противодействие, когда реакция системы защиты начинается к моменту завершения угрозы или после нее. Он характерен для систем информационной защиты. Несколько лучший вариант - одновременное противодействие, то есть оно начинается с появлением угрозы. И, наконец, наилучший - противодействие, носящее опережающий характер: реакция системы защиты начинается до начала реализации угрозы. Основанием для реакции могут быть оперативные данные, сигналы тревоги раннего оповещения и т.п.
На рис.2.6 представлена характерная зависимость эффективности защиты от относительного времени реакции системы (Тр
/Ту
) для всех трех вариантов противодействия.
Основные выводы и рекомендации очевидны. Одновременное противодействие будет достаточным для высокоэффективной защиты от угрозы, если реакция на нее будет быстрой. Эта задача вполне реальна для объектов большого бизнеса. Кооперативные же формы противодействия в условиях медленной реакции на угрозы не принесут эффекта, если отсутствуют средства задержки и блокирования угроз. Говоря о тактических вопросах системы безопасности бизнеса в части технических каналов связи, прежде всего имеют в виду скорость ее реакции, надежность решений, блокирование развития угроз и их ликвидацию. Особенно важно обеспечить жесткие требования к надежности всех систем защиты, которая зависит от времени их функционирования и периодичности обновления ресурсов. Если это время превышает 5 лет, то требование надежности реализуется несколькими способами, среди которых - резервирование решений, многорубежность защиты, автоматизация первичных решений, централизованное управление ресурсами в кризисных ситуациях и т.п. Прежде чем определиться в вопросах тактики, надо помнить, что она должна соответствовать стратегии и опираться на точный количественный анализ. Для объектов среднего и малого бизнеса такой анализ вполне реален даже без средств автоматизации. Однако необходимо привлечь специалистов и экспертов, которые бы проанализировали обстановку и свойства защищаемого объекта, разработали модель угроз, изучили рынок существующих средств и методов. Эти данные и помогли бы оценить саму систему и при необходимости модернизировать ее.
Выводы по разделу 2
Проведен анализ необходимости и возможности защиты информации от НСД, на основе которого можно предъявить требования к степени защищенности АС на предварительном этапе проектирования.
Определены основные требования к защите как конфиденциальной, так и секретной информации от несанкционированного доступа и проведен их сравнительный анализ, который показал, что такие требования довольно схожи, однако для секретной информации они на порядок выше.
Установлено, что защитные мероприятия необходимо начинать непосредственно с организационных мероприятий, которые, в свою очередь, должны отвечать государственным требованиям по обеспечению режима секретности проводимых работ.
Проанализированы основные принципы защитных мероприятий от несанкционированного доступа в АС, на основании которого установлено, что реализация таких принципов осуществляется с помощью так называемого "монитора обращений".
Для повышения эффективности используемых защитных мероприятий был проведен их математический анализ. На основании такого анализа установлено, что реализация защитных мероприятий для каждого предприятия (объекта) различна, соответственно и эффективность таких мероприятий от НСД для одних объектов будет выше (объекты большого бизнеса), а для других ниже (объекты малого бизнеса).
3
РАЗРАБОТКА МЕТОДИКИ ОЦЕНКИ ЭФФЕКТИВНОСТИ ЗАЩИТНЫХ МЕРОПРИЯТИЙ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
3.1 Общие принципы оценки эффективности защитных мероприятий
Оценка эффективности является важным элементом разработки проектных и плановых решений, позволяющим определить уровень прогрессивности действующей структуры, разрабатываемых проектов или плановых мероприятий и проводится с целью выбора наиболее рационального варианта структуры или способа ее совершенствования. Эффективность защитных мероприятий (ЗМ) должна оцениваться на стадии проектирования, для получения наилучших показателей работоспособности системы в целом.
В общем случае эффективность ЗМ оценивается как на этапе разработки, так и в процессе эксплуатации системы защиты. В оценке эффективности ЗМ, в зависимости от используемых показателей и способов их получения, можно выделить три подхода [22]:
- классический;
- официальный;
- экспериментальный.
Под классическим подходом к оценке эффективности понимается использование критериев эффективности, полученных с помощью показателей эффективности. Значения показателей эффективности получаются путем моделирования или вычисляются по характеристикам реальной АС. Такой подход используется при разработке и модернизации КСЗИ. Однако возможности классических методов комплексного оценивания эффективности применительно к ЗМ ограничены в силу ряда причин. Высокая степень неопределенности исходных данных, сложность формализации процессов функционирования, отсутствие общепризнанных методик расчета показателей эффективности и выбора критериев оптимальности создают значительные трудности для применения классических методов оценки эффективности.
Большую практическую значимость имеет подход к определению эффективности ЗМ, который условно можно назвать официальным. Политика безопасности информационных технологий проводится государством и должна опираться на нормативные акты. В этих документах необходимо определить требования к защищенности информации различных категорий конфиденциальности и важности.
Под экспериментальным подходом понимается организация процесса определения эффективности существующих КСЗИ путем попыток преодоления защитных механизмов системы специалистами, выступающими в роли злоумышленников. Такие исследования проводятся следующим образом. В качестве условного злоумышленника выбирается один или несколько специалистов в области информационной борьбы наивысшей квалификации. Составляется план проведения эксперимента. В нем определяются очередность и материально-техническое обеспечение проведения экспериментов по определению слабых звеньев в системе защиты. При этом могут моделироваться действия злоумышленников, соответствующие различным моделям поведения нарушителей: от неквалифицированного злоумышленника, не имеющего официального статуса в исследуемой АС, до высококвалифицированного сотрудника службы безопасности.
Принципиальное значение для оценок эффективности защитных мероприятий имеет выбор базы для сравнения или определение уровня эффективности, который принимается за нормативный. Здесь можно указать несколько подходов, которые могут дифференцированно использоваться применительно к конкретным случаям [23]. Один из них сводится к сравнению с показателями, характеризующими эффективность организационной структуры эталонного варианта системы защиты. Эталонный вариант может быть разработан и спроектирован с использованием всех имеющихся методов и средств проектирования систем защиты, на основе передового опыта и применения прогрессивных организационных решений. Характеристики такого варианта принимаются в качестве нормативных, при этом сравнительная эффективность анализируемой или проектируемой системы определяется на основе сопоставления нормативных и фактических (проектных) параметров системы с использованием преимущественно количественных методов сравнения. Может применяться также сравнение с показателями эффективности и характеристиками системы управления, выбранной в качестве эталона, определяющего допустимый или достаточный уровень эффективности организационной структуры.
Однако возникают некоторые трудности применения указанных подходов, которые обусловлены необходимостью обеспечения сопоставимости сравниваемых вариантов. Поэтому часто вместо них используется экспертная оценка организационно-технического уровня анализируемой и проектируемой системы, а также отдельных ее подсистем и принимаемых проектных и плановых решений, или комплексная оценка системы защиты, основанная на использовании количественно-качественного подхода, позволяющего оценивать эффективность ЗМ по значительной совокупности факторов. Экспертная оценка может являться составным элементом комплексной оценки эффективности системы защиты, включающей все перечисленные подходы как к отдельным подсистемам, так и к системе в целом.
Эффективность систем оценивается с помощью показателей эффективности. Иногда используется термин - показатель качества. Показателями качества, как правило, характеризуют степень совершенства какого-либо товара, устройства, машины. В отношении сложных человеко-машинных систем предпочтительнее использование термина показатель эффективности функционирования, который характеризует степень соответствия оцениваемой системы своему назначению.
Определение показателя эффективности возможно двумя общенаучными методами [24]: экспериментом (испытанием) и математическим моделированием (в настоящее время часто называют вычислительным экспериментом).
Применительно к защите информации показатели по значимости ("снизу вверх") разделяются так: технические - информационные (датчиковые) - системные - надсистемные (ценностные). Физически, применительно к защите информации от утечки, этот ряд выглядит так: сигнал / шум - вероятность обнаружения объекта – источника информации - вероятность его вскрытия - ущерб от утечки информации. При этом все частные показатели между собой функционально связываются.
Для того чтобы оценить эффективность системы защиты информации или сравнить системы по их эффективности, необходимо задать некоторое правило предпочтения. Такое правило или соотношение, основанное на использовании показателей эффективности, называют критерием эффективности. Для получения критерия эффективности при использовании некоторого множества k-показателей используют ряд подходов. Обычно при синтезе системы возникает проблема решения задачи с многокритериальным показателем.
3.2 Подход к оценке эффективности защитных мероприятий
Так как определение эффективности систем защиты информации относится к задачам многокритериальной оценки, то такую сложную систему невозможно достаточно правильно охарактеризовать с помощью единственного показателя. Соответственно применение при оценке эффективности защиты системы множества показателей будет характеризовать эффективность наиболее полно. При использовании известных методик оценки угроз есть определённые недостатки, которые не дают полной картины оценки эффективности защиты системы. К таким недостаткам относятся те оценки, которые имеют следующие характеристики методик [21]:
а) Результаты характеристик представлены как шкалы оценок потенциальных угроз и их последствий. Такая методика имеет приближённые значения показателей, основанные на анализе имеющейся статистики нарушений или на экспертных оценках. Для определения значений показателя необходим значительный объём статистического материала, значит оценка не может быть использована для оценки эффективности и выбора мер защиты информации.
б) Ri
10(S
V
-4)
, где показатель частоты возникновения угрозы S выбирается из интервала [0,7], 0 – соответствует случаю, когда угроза почти не возникает, 7 – угроза возникает тысячу раз в год, V – показатель ущерба, который назначается в зависимости от S и принимает значения от 1 до 1 млн. долл. Оценка очень приближённая, и для определения значений показателя необходим значительный объём статистического материала, показатель не может быть использован для оценки эффективности и выбора мер защиты информации.
в)
где Wi
– субъективный коэффициент важности j-ой характеристики СЗИ (системы защиты информации); Gi
– назначенное экспертным путём значение каждой из характеристик; n – количество характеристик. Выражение позволяет получить приближённую оценку эффективности системы защиты информации. Может быть использован при отсутствии необходимых исходных данных для более точной и достоверной оценки, но имеет субъективный коэффициент важности, что не даёт возможности использования метода в системах, где мера степени безопасности системы указана явно.
г) Оценка угроз: L – средний показатель появления угроз (случайная величина с распределением вероятности f(L)). Для оценки ущерба: случайная величина m со средним отклонением V
. L определяется на основе анализа статистики нарушений или экспертным путём; m – определяется на основе анализа статистики нарушений или экспертным путём. Для оценки ущерба необходимо иметь статистику нарушений безопасности и измеренные значения ущерба в результате этих нарушений. Невозможно учесть влияние средств защиты информации на L и соответственно на m, а следовательно, и оценить эффективность мер защиты информации.
При использовании счётного множества показателей W
{Wi
}
, i
1,n
, где n – количество показателей, оценка эффективности будет наиболее полной с учётом правильности выбора критериев оценки и количества выбранных показателей.
Из основных подходов к многокритериальной оценке эффективности сложных систем видно, что они сводятся к свертыванию множества частных показателей Wi
к единственному интегральному показателю W0
или использованию методов теории многокритериального выбора и принятия решений при наличии значительного числа частных показателей эффективности, приблизительно одинаково важных.
При подходе к оценке эффективности, в которой эффективность выражается в нечётких показателях защиты информационной системы, в виде лингвистических переменных, таких, как: «абсолютно незащищённая», «недостаточно защищённая», «защищённая», «достаточно защищённая», «абсолютно защищённая», выстраивается необходимая и достаточная картина защищённости системы от НСД (несанкционированного доступа к информации) как в качественной, так и в количественной оценке, что в свою очередь является положительным свойством, имеющим превосходство над вышеперечисленными известными методиками.
В такой методике принадлежность определённого уровня безопасности будет определятся на промежутке [0, 1], и показатели надёжности будут функцией принадлежности μA
(xi
), где xi
– есть элемент множества Х – требования безопасности, а А – множество значений, определяющих выполнение требований безопасности в той или иной мере, и определяемое как:
,
где пара «функция принадлежности элемент». Тогда возможно производить оценку эффективности по чётко определённым критериям безопасности следующим образом.
Пусть Х={1, 2, 3, 4, 5} есть заданные наборы требований защиты системы, тогда нечёткое множество оценки защищённости системы, имеющей определённые критерии безопасности, будет:
А = 0,2/1 + 0,4/2 + 0,6/3 + 0,8/4 + 1/5.
Это следует интерпретировать так, что система, имеющая набор выполненных требований «1», относится к «абсолютно незащищённой», система, имеющая набор выполненных требований «2», относится к «недостаточно защищённой», система, имеющая набор выполненных требований «3», относится к «защищённой», система, имеющая набор выполненных требований «4», относится к «достаточно защищённой», система, имеющая набор выполненных требований «5», относится к «абсолютно защищённой». Причём набор «5» относится к «абсолютно защищённой» системе и т.д. Разные состояния безопасности системы выделяются в виде подмножеств нечёткого множества А. Вероятность взлома оцениваемой системы может соответствовать кардинальному числу (мощности) нечёткого множества, а именно: если Х={1, 2, 3, 4, 5} и А = 0,2/1 + 0,4/2 + 0,6/3 + 0,8/4 + 1/5, то Card A = |A|= 3, т.е. вероятность взлома будет 3k, где k – коэффициент соответствия.
Каждый терм имеет определённые значения на промежутке [0, T], где Т – максимальное количество требований, определённых в системе защиты информации. Так, набор требований может быть на промежутке [0, 20], и соответственно набор «1» будет множеством выполненных требований, например, [0, 4].
Очевидно, что при таком подходе для оценки эффективности защищённости АС от НСД необходимы только данные о необходимых требованиях защищённости и данные о полноте выполнения этих требований. Предлагаемая методика даёт возможность её применения при оценке эффективности защищённости системы с помощью определённых нейросетевых приложений.
При использовании методики совместно с программно-аппаратным комплексом можно достичь:
- постоянного мониторинга состояния информационной безопасности АС;
- прогнозирования возможности осуществления атак путём имитации угроз (предполагается наличие множества Q[1, q], где q – максимальное количество угроз);
- существенного затруднения или предотвращения реализации угрозы или множества угроз, которые существуют при невыполнении некоторых требований из промежутка [0, T];
- изменения наборов требований для стремления системы защиты к лингвистической переменной «абсолютно защищённая».
Комплекс также может обладать возможностью перевода состояния системы безопасности к более высокому уровню эффективности защиты.
Выводы по разделу 3
Проанализированы основные методы оценки эффективности защитных мероприятий в АС. К их числу относятся:
- классический;
- официальный;
- экспериментальный.
Установлено, что для оценки эффективности защитных мероприятий в АС наиболее целесообразно выбирать многокритериальные показатели.
Разработан подход к оценке эффективности защитных мероприятий АС от НСД, для реализации которого достаточно иметь только данные о необходимых требованиях защищённости и данные о полноте выполнения этих требований.
4
ВЫБОР ПУТЕЙ ПОВЫШЕНИЯ ЭФФЕКТИВНОСТИ ЗАЩИТНЫХ МЕРОПРИЯТИЙ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
4.1 Выбор контролируемых параметров по максимальным значениям (с учетом защиты канала)
Выбор параметров для контроля по информативным признакам достаточно сложен и требует обширных фактических данных.
Для инженерных расчетов приемлемыми являются методы линейного и динамического программирования.
Рассмотрим применение линейного программирования для определения номенклатуры контролируемых параметров с целью получения максимальной информации о техническом состоянии (защиты) канала при заданном коэффициенте готовности и выполнении ряда ограничений (например, стоимость контроля, масса, габариты и т.д.).
Решение этой задачи возможно при определенных допущениях. Поставим задачу в терминологии линейного программирования.
Найти подмножество контролируемых параметров w множества Ω, максимизирующее при соблюдении ограничений линейную функцию Β или
,(4.1.1)
где - ограничение на выбор состава контролируемых параметров;
- достигнутое значение по s-му ограничению.
В работе [26] автором рассматривалось применение в качестве максимизируемой функции критерия объективности контроля [27] в виде
, (4.1.2)
где
(4.1.3)
.(4.1.4)
Здесь - интенсивность проникновений в i-ый параметр;
- интенсивность проникновений в канал - .
Не меняя, практически, сути рассуждений, можно принять , что значительно упрощает вычисления.
Принимаются следующие допущения, пригодные для широкого класса каналов:
- надежность параметров не изменяется при введении КУ;
- параметры взаимонезависимые; для всех параметров выполняется
. (4.1.5)
В среднем время отыскания неисправного элемента (без КУ) больше, чем время устранения неисправности или проникновения этого элемента; - время восстановления i-гo элемента; для всех элементов выполняется условие
. (4.1.6)
4.2 Выбор контролируемых параметров по заданному коэффициенту готовности
В качестве обязательного ограничения можно потребовать получение какой-либо характеристики надежности заданного значения, например, коэффициента готовности в виде [26]
,(4.2.1)
,
где
(4.2.2)
. (4.2.3)
В качестве можно использовать вероятность отказа, в предположении .
Формализуем условие задачи.
Определить набор максимизирующий функцию
.(4.2.4)
При условиях
,
,
. (4.2.5)
Покажем применение расчетных соотношений на простом примере.
Пример. В коммуникационном устройстве имеется 10 определяющих параметров. Необходимый Кгз
= 0,978, максимальная стоимость КУ G2
= 150 усл.единиц, максимальная масса КУ G2
= 80 усл.единиц. Данные о параметрах сведены в табл. 4.2.1.
Все параметры канала контролировать нельзя, так как нарушаются условия (4.2.5). Определяются величины и
,
Таблица 4.2.1 | |||||||||||
№ | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | |
λi
(1/ч) |
1 | 0,5 | 2 | 0,8 | 1,5 | 1 | 0,5 | 0,5 | 0,2 | 2 | 10-2
|
τbi
(ч) |
2 | 4 | 6 | 2 | 1 | 0,2 | 4 | 2 | 2 | 2 | 10-1
|
τусi
(ч) |
1,6 | 1 | 4,8 | 1,4 | 0,8 | 0,16 | 1 | 0,5 | 0,6 | 1,6 | 10-1
|
g1i
(усл.ед) |
10 | 20 | 10 | 30 | 20 | 10 | 10 | 10 | 20 | 40 | |
g2i
(усл.ед) |
5 | 10 | 20 | 20 | 20 | 10 | 5 | 10 | 5 | 5 |
после чего находятся коэффициенты bi
по формуле (4.1.3) и γi
, γj
по формулам(4.2.3). Все показатели сводятся в табл. 4.2.2.
Таблица 4.2.2 |
|||||||||||
№ | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | |
bi
|
0,11 | 0,06 | 0,17 | 0,1 | 0,15 | 0,11 | 0,06 | 0,06 | 0,11 | 0,17 | |
γi
|
1,6 | 0,5 | 9,6 | 1,12 | 1,2 | 0,16 | 0,5 | 0,25 | 0,12 | 3,2 | 10-3
|
γj
|
2 | 2 | 12 | 1,6 | 1,5 | 0,2 | 2 | 1 | 0,4 | 4 | 10-3
|
Требуется найти набор
максимизирующий линейную функцию
(4.2.6)
при условиях
4.2.7)
Решая задачу методом направленного полного перебора, получаем оптимальный набор контролируемых параметров (1,3,4,5,6,10), при выполнении условий (4.2.7) и максимальном (4.2.6) .
Предложенная методика при ее наглядности и универсальности обладает следующими недостатками:
- большой объем вычислений при увеличении числа параметров (более 10), особенно при близости их характеристик;
- сложность приведения к задаче линейного программирования (из-за зависимости значения величины γ от выбора z в выражении (4.2.7);
- трудности разработки вычислительного алгоритма для ЭВМ.
В связи с этими недостатками приведенные соотношения целесообразно применять только для каналов с малым числом параметров (единицы).
Однако преобразуя выражение (4.2.5) к виду
,(5.2.8)
или
,(5.2.9)
или
,(5.2.10)
где Λ- интенсивность отказов канала;
τв
- среднее время устранения одной неисправности или проникновения;
τвз
— заданное время восстановления;
,(5.2.11)
добиваемся отсутствия зависимости γ от выбора z. Поэтому сравнительно просто можно придти к задаче линейного программирования с булевыми переменными в следующей математической постановке.
Определить набор , максимизирующий функцию
,
при условиях
При такой постановке задача может быть решена методами линейного программирования с булевыми переменными, в том числе и на ЭЦВМ.
4.3 В
Методика выбора контролируемых параметров, приведенная в 4.2, может эффективно применяться только при независимости параметров (каждый параметр зависит только от одного элемента или каждый элемент имеет только один параметр).
Рассмотрим задачу выбора для случая, когда параметры взаимозависимы. Причем оптимальным считается такой набор, при контроле которого достигается максимальная апостериорная вероятность безотказной работы и соблюдается условие ограничения (стоимость контроля, время и т.д.).
Задачу выбора оптимального набора контролируемых параметров при ограничении можно решить методами сокращенного перебора. Сокращение перебора достигается использованием специальных правил, позволяющих исключать заведомо неоптимальные наборы. Один из таких алгоритмов приведен в работе [28], но он на наш взгляд слишком сложен для применения в инженерной практике.
Рассмотрим более простой алгоритм [29], пригодный для определения набора контролируемых параметров канала.
Постановка задачи.
Система состоит из N элементов. В каждый момент времени возможно только одно проникновение (возможен отказ лишь одного элемента). Работоспособность каждого элемента не зависит от состояния других. Отказ любого элемента вызывает выход из зоны допуска значения, по крайней мере, одного из М параметров.
Известные априорные вероятности qi
при отказе i-ro элемента и для каждого к-го параметра πк
определено подмножество Sк
элементов, охваченных контролем этого параметра. Другими словами, величиной Sк
можно характеризовать ненадежность к-го параметра.
Известны затраты gк
на контроль каждого параметра. При этом предполагается, что затраты g(w) на контроль любой совокупности w параметров слагаются из суммы затрат на контроль каждого параметра из этой совокупности.
Требуется из всех совокупностей (наборов) w, у которых g(w)<Gs
-допустимых планов, (где Gs
- s-oe ограничение на проведение контроля) выбрать ту совокупность, при которой вероятность безотказной работы устройства после проведения контроля (диагностики) была бы наибольшей.
Решение.
Обозначим: рк
- вероятность безотказной работы тех элементов, у которых контролируется к-й параметр (qк
= l – pк
). Вероятность безотказной работы устройства перед контролем
,(4.3.1)
при
. (4.3.2)
Взаимосвязь параметров и элементов задается матрицей вида
элементы которой определяются из условия
,(4.3.4)
где i - номер элемента;
к - номер параметра.
При этом параметры нумеруются так, чтобы соответствующие им затраты составляли неубывающий ряд
.
(Впоследствии предпочтительно начинать выбор параметров слева).
При продолжительном результате контроля к-го параметра, вероятность безотказной работы всех элементов, от которых зависит к-й параметр, принимается равной единице. В этом случае вероятность безотказной работы всей системы определится выражением
,
где
.(5.3.5)
При этом вероятность безотказной работы системы возрастет на величину
.
Предполагается, что затраты qк
и ограничение Gs
таковы, что сумма любых двух значений затрат больше Gs
. Тогда для контроля, очевидно, надлежит выбирать лишь один параметр. Этим параметром будет тот, у которого сумма Sк
будет наибольшей, а следовательно и приращение ΔР(к)
также наибольшее. Если таких параметров несколько, то из них надо выбрать тот, у которого произведение (1 – Sк
)qк
- наименьшее и, следовательно, приращение вероятности, приходящееся на единицу затрат – наибольшее
.
Если систему проконтролировать некоторой совокупностью w приборов (πw
) и затраты при этом g(w) < Gs
, то вероятность безотказной работы системы примет значение
,
где
.(4.3.5)
При этом общий множитель pi
(или общее слагаемое qi
) берется лишь один раз. Вероятность безотказной работы системы увеличится при этом на величину
.
Если при фиксированном числе параметров все наборы w таковы, что g(w) + g1
> Gs
и , то из всех наборов оптимальным будет тот, у которого сумма Sw
- наибольшая, а, следовательно, и приращение вероятности будет наибольшим. Если окажется несколько наборов с одинаковой наибольшей суммой Sw
, то оптимальным из них будет тот, у которого величина
наибольшая. Таковым будет набор, у которого произведение g(w)(1 - Sw
) - наименьшее.
Алгоритм определения рационального набора контролируемых параметровреализуется в следующей последовательности:
1-й шаг. Параметры, у которых gк
> Gs
не рассматриваются. Для оставшихся параметров вычисляются Sк
и находится наибольшая из них Sк
(0)
. Если таких параметров несколько, то из них выбирается тот, у которого Rк
= gк
(1 – Sк
) - наименьшее. Обозначим этот параметр π1
0
.
2-й шаг. Исключаются из дальнейшего рассмотрения все параметры, у которых gк
= Gs
(кроме π1
0
, если g1
0
= Gs
). Из оставшихся параметров формируются наборы по два параметра: (π1
,π2
)(π1
,π3
) … (πм-1
,πм
).Все пары (πк
,π1
), у которых g2
= gк
+ g1
> Gs
не рассматриваются. Вычисляются
и находится наибольшая из них S к1
(0)
. Если таких пар несколько, то из них выбирается та, у которой Rк1
= (gк
+g1
)(l – Sк1
) - наименьшее. Обозначим эту пару π2
0
.
m-й шаг. Процесс продолжается до сочетаний по m≤М параметров, если еще gw→M
< Gs
. Из полученных наивыгоднейших наборов π1
0
, π2
0
, …, πm
0
выбирается тот, у которого наименьшее
.
Соответствующий набор параметров есть решение поставленной задачи. При этом вероятность безотказной работы системы после проведения диагностики достигает наибольшего значения
.
Точное решение задачи по предлагаемому алгоритму при больших М и N (несколько десятков) становится весьма громоздким. Можно использовать приближенные методы, которые позволяют получить вполне приемлемую для инженерной практики точность. К ним относятся:
А. Метод выбора рационального набора по числу максимально допустимых в наборе элементов.
Определяется среднее значение затрат на контроль одного параметра
.
Предполагается, что затраты gк
= gc
= const и рациональный набор контролируемых параметров находится среди наборов с максимально допустимым числом параметров. За максимально допустимое число принимается
.
Затем рассматриваются все наборы по n параметров, у которых и из них выбирается оптимальный πn
0
по алгоритму, изложенному ранее.
Применение этого приближенного метода эффективно при близких значениях затрат на контроль параметров.
Б. Метод приближения к рациональному набору по наборам с наибольшим приращением вероятности, приходящейся на единицу затрат (Метод наискорейшего спуска).
Предполагается, что из всех сочетаний по два наилучшим является сочетание из таких параметров πк1
0
и πк2
0
, что значение V(к1 0)
— наибольшее из всех V(к)
и V(к1 0 к2 0)
- наибольшее из всех V(кl к2)
. Из всех сочетаний по три параметра наилучшим является сочетание πк1
0
πк2
0
πк3
0
у которого значение V(к1 0 к2 0 к3 0)
наибольшее. Таким образом, за оптимальный набор принимается набор πк1
0
πк2
0
…πкn
0
. При этом присоединение к этому набору любого из оставшихся приборов не удовлетворяет условию ограничения на затраты
и .
В этом методе получается наименьшее число переборов. Его применение наиболее эффективно при резком отличии параметров друг от друга.
В. Комбинированный метод, в котором применены предыдущие приближенные методы и основные идеи метода ветвей и границ. По методу А определяется базовый набор wБ
0
, состоящий их n параметров при g(wБ
0
) < Gs
. В наборах и отыскиваются такие параметры, чтобы
. (4.3.6)
Комбинированный метод, очевидно, самый эффективный из рассмотренных и позволяет наиболее быстро подойти к решению задачи при
(4.3.7)
Такие операции проводятся до тех пор пока находятся параметры, удовлетворяющие условиям (4.3.6 и 7). При этом оптимальным набором w0
из {wБ
0
, wБ
1
, wБ
2
, ..., wБ
m
} считается тот, у которого
.
Следует отметить, что число шагов решения при использовании алгоритма Р.Р. Убара, реализованного с помощью метода ветвей и границ [28]. (при учете допустимости и перспективности) несколько больше, чем при методе В, и логика алгоритма и элементарные вычисления сложнее приведенных выше.
Приведем характеристики числа переборов вариантов без учета допустимости и перспективности планов (табл.4.3.1).
Следует отметить, что с ростом М и n различие в числе переборов для этих методов быстро возрастает. При учете допустимости и перспективности наборов число переборов в трех последних методах резко падает (метод А грубее остальных и может применяться только при сильных ограничениях).
Таблица 4.3.1 | ||
Метод (алгоритм) | Максимальное число переборов | n=5 М=7 |
Полный перебор | 127 | |
А | 21 | |
Б | 25 | |
Алгоритм Р.Р.Убара | 70 |
По простоте алгоритма и по элементарности вычислений, а также по быстроте решения наиболее предпочтительным является метод Б. Используя понятие веса (важности) параметра можно заменить в матрице (4.3.3) величину аiк
на hiк
.
При этом
,
a hiк
показывает (относительно) как сильно влияет i-ый элемент (точнее параметры элемента) на к-ый параметр. Такая замена особенно эффективна при преобладающем количестве параметрических отказов. Заметим, что не меняя сущности метода, можно заменить величину qi
на λi
τbi
или на τbi
/τсрi
, (где λi
–интенсивность отказов i-гo элемента; τсрi
- среднее время восстановления i-гo элемента). При этом в выражении (4.3.1) Р(0)
будет иметь смысл коэффициента готовности. Проиллюстрируем методы на примерах.
Примеры:
Объект контроля задан матрицей вида (4.3.3)
элементы которой определяются из условия (4.3.4).
Исходные данные приведены в табл.4.3.2. ограничение Gy
=7.
Таблица 4.3.2 | ||||||
№ | qi
x 103 |
π1
|
π2
|
π3
|
π4
|
π5
|
затраты на контроль | ||||||
2 | 2 | 2 | 3 | 3 | ||
1 | 3 | 3 | ||||
2 | 5 | 5 | 5 | 5 | ||
3 | 4 | 4 | 4 | |||
4 | 4 | 5 | ||||
5 | 4 | 4 | ||||
Sк
x l03 |
20 | 4 | 3 | 9 | 9 | 9 |
1 - Sк
|
0,980 | 0,996 | 0,997 | 0,991 | 0,991 | 0,991 |
Rк
= gк (l - Sк ) |
- | - | 1,882 | - | - |
Пример 1. Из табл.4.3.2 видно, что предпочтительным для контроля является параметр π3
,
то есть
.
Сочетания по два параметра для определения π2º
представлены в табл. 4.3.3. Из нее следует, что предпочтительным для контроля является сочетание параметров π3
π4
= π2º
;
.
Таблица 4.3.3 | |||||||||||
№ | qi
x 103 |
12 | 13 | 14 | 15 | 23 | 24 | 25 | 34 | 35 | 45 |
затраты на контроль g(2)
|
|||||||||||
4 | 4 | 5 | 5 | 4 | 5 | 5 | 5 | 5 | 6 | ||
1 | 3 | 3 | 3 | 3 | |||||||
2 | 5 | 5 | 5 | 5 | 5 | 5 | 5 | 5 | 5 | 5 | |
3 | 4 | 4 | 4 | 4 | 4 | 4 | 4 | 4 | |||
4 | 4 | 4 | 4 | ||||||||
5 | 4 | 4 | 4 | ||||||||
Sк1
x l03 |
7 | 9 | 9 | 9 | 12 | 8 | 12 | 13 | 9 | 13 | |
(1 - Sкl
) x 103 |
993 | 991 | 991 | 991 | 988 | 992 | 988 | 987 | 991 | 987 | |
(1 – Sк1
) x g(2) |
3,952 |
Сочетания по три параметра для определения π3º
представлены в табл.4.3.4
Таблица 4.3.4 | |||||||||||
№ | qi
x 103 |
123 | 124 | 125 | 134 | 135 | 145 | 234 | 235 | 245 | 345 |
затраты на контроль g(3)
|
|||||||||||
6 | 7 | 7 | 7 | 7 | 8 | 7 | 7 | 8 | 8 | ||
1 | 3 | 3 | 3 | 3 | 5 | 3 | 3 | ||||
2 | 5 | 5 | 5 | 5 | 5 | 4 | 5 | 5 | |||
3 | 4 | 4 | 4 | 4 | 4 | 4 | |||||
4 | 4 | 4 | 4 | 4 | 4 | ||||||
5 | 4 | 4 | 4 | 4 | |||||||
S3
x 103 |
16 | 16 | 12 | 17 | 9 | - | 16 | 16 | - | - | |
(1 - S3
) х 103 |
984 | 984 | 988 | 983 | 991 | 984 | 984 |
Примечание: наборы 145, 245 и 345 не рассматриваются, так как для них g(3) = 8>7. Из табл.4.3.4 получаем рациональный набор π3º=π1π3π4.
При этом
Любое сочетание по 4 прибора дает g(w)>7.
Сравнивая Р(3), Р(34) и P(134), получаем оптимальный набор (π1
π3
π4
).
Пример 2. Для тех же числовых данных решим задачу 1-ым приближенным методом. В нашем случае
Составляется табл.4.3.4 и из нее находится π3º
=π1
π3
π4
.
Пример 3. Решаем 2-м приближенным методом. Из табл.4.3.2 имеем πк1º
=π3
. После этого объем табл. 4.3.3 сократится, то есть в ней рассматриваются лишь сочетания с параметром π3
[(31), (32), (34) и (35)].
Минимум произведения (l - Sк1
)g(2) дает максимум V(к1)
. Таким образом, как это следует из табл. 4.3.3, сочетание πк1º
πк2º
= π3
π2
.
По этим же причинам уменьшается и объем табл. 4.3.4, так как в ней рассматриваются лишь сочетания с параметрами π3
и π2
[(231), (234) и (235)].
Наименьшее произведение (1 - S3
) g(3) соответствует сочетанию π2
π3
π1
Для этого сочетания величина V(к1 0 к2 0 к3 0)
– наибольшая.
Приближенно определенный набор незначительно отличается от ранее найденного и при затратах g1
+ g2
+ g3
= 6 < 7, вероятность безотказной работы Р(123)
= 0,996.
4.4 Оценка оптимального времени между проведением функциональных проверок информационного канала
Если вероятность выявления отказов канала или проникновений в него с помощью непрерывного контроля Рнк
, а с помощью контроля Рфк
= 1 - Рнк
, то значение стационарного коэффициента готовности можно выразить соотношением [30]
,(4.4.1)
где Т0
- среднее время работы канала между отказами;
τв
- среднее время существования отказа (τв
= τот
+ τус
);
Тфк
- среднее время между проведением функционального контроля;
τфк
- среднее время проведения функционального контроля.
Примечание:функциональный контроль связан с прекращением выполнения аппаратурой поставленной задачи. Оптимальное значение времени между проведением функционального контроля, при котором обеспечивается максимальный коэффициент готовности, определяется формулой
. (4.4.2)
Оптимизация блоков контролируемой аппаратуры. Очевидно, что чем на большее число блоков разделен канал, тем лучше ее ремонтопригодность и, следовательно, коэффициент готовности. В то же время возрастает сложность аппаратуры контроля и увеличивается влияние ее погрешности (и проникновения в канал).
Отсюда вытекает требование целесообразного разбиения канала на блоки с контролируемыми параметрами.
В работе [31] получена формула для определения оптимального количества блоков с контролируемой работоспособностью, при условии
, (4.4.3)
где τ - средняя длительность нерабочих периодов;
t – текущий момент времени работы РЭА;
Tкi
- среднее время безотказной работы одного блока аппаратуры диагностики.
Легко видеть, что условие (4.4.3) выполняется для широкого класса РЭА и аппаратуры контроля. Оптимальное количество блоков для достижения максимального коэффициента готовности находится по формуле
, (4.4.4)
где
Здесь Ри
- вероятность того, что канал используется в любой произвольный момент времени t (не зависит от t);
τот
- среднее время отыскания неисправности или проникновения в аппаратуре, не разделенной на блоки;
Рло
- вероятность того, что отказ блочного узла аппаратуры диагностики выражается в выдаче неправильной информации об исправном блоке
(Рло
= 1 - Рправ
, где Рправ
- вероятность того, что блочный узел выдает правильную информацию о неисправном блоке при условии, что отказ или проникновение произошли).
Выводы по разделу 4
Предложен подход к определению номенклатуры контролируемых параметров с целью получения максимальной информации о техническом состоянии (защиты) канала АС при заданном коэффициенте готовности и выполнении ряда ограничений (например, стоимость контроля, масса, габариты и т.д.).
Разработан выбор контролируемых параметров по максимальному значению вероятности безотказной работы после проведения диагностики.
С целью дальнейшей оптимизации защиты выполнена оценка оптимального времени между проведением функциональных проверок информационного канала.
5.
РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО ИСПОЛЬЗОВАНИЮ УСТРОЙСТВ, МЕТОДОВ И МЕРОПРИЯТИЙ ПО ЗАЩИТЕ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ
КСЗИ представляют собой совокупность [32]:
- организационных мероприятий;
- инженерно-технических мероприятий.
Они направлены на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа. Организационные мероприятия являются обязательной составляющей построения любой КСЗИ. Инженерно-технические мероприятия осуществляются по мере необходимости.
5.1 Организационные мероприятия
Организационные меры не требуют больших материальных затрат, но их эффективность подтверждена жизнью и часто недооценивается потенциальными жертвами. Отметим их одну отличительную особенность в сравнении с техническими средствами: организационные меры никогда не становятся провоцирующим фактором агрессии. Они применяются до столкновения со злоумышленником.
Используя опыт многих организаций в области проектирования КСЗИ, отметим, что организационные мероприятия включают в себя создание концепции информационной безопасности, а также:
- составление должностных инструкций для пользователей и обслуживающего персонала;
- создание правил администрирования компонент информационной системы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;
- разработка планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
- обучение правилам информационной безопасности пользователей.
Соблюдение основных принципов и простых правил позволит предотвратить потерю информации, а вместе с этим и возможный материальный, моральный ущерб, финансовые потери и т.д.
В случае необходимости, в рамках проведения организационных мероприятий может быть создана служба информационной безопасности, режимно-пропускной отдел, проведена реорганизация системы делопроизводства и хранения документов.
Рассмотрим структуру некоторых положений используемых в защищенных АС. Основные инструкции и правила для пользователей и обслуживающего персонала, используемых на предприятии приведены в Приложении А.
5.1.1 Рекомендации по категорированию информации в информационной системе предприятия
Вся информация на предприятии должна быть категорирована. Категории критичности и связанные с ними меры защиты для производственной информации должны учитывать производственную необходимость в коллективном использовании информации или ограничении доступа к ней, а также ущерб для предприятия, связанный с несанкционированным доступом или повреждением информации.
Ответственность за присвоение категории критичности конкретному виду информации, например, документу, файлу данных или дискете, а также за периодическую проверку этой категории следует возложить на владельца информации.
Следует с осторожностью подходить к интерпретации категорий критичности на документах других предприятий, поскольку одинаковый или похожий уровень критичности может быть определен по-другому.
При присвоении категорий критичности следует учесть следующие моменты:
- Критичная информация и выходные данные систем, содержащие критичную информацию, должны иметь соответствующие категории критичности.
- Чрезмерное засекречивание информации может привести к неоправданным дополнительным затратам в компании.
- Выходным данным информационных систем, содержащим критичную информацию, должен быть присвоен соответствующий уровень критичности. Этот уровень критичности должен отражать категорию критичности наиболее уязвимой информации в выходных данных.
Например, на предприятии вводятся следующие уровни категорий критичности информации:
- общедоступно,
- конфиденциально,
- строго конфиденциально,
- секретно.
Сотрудникам предприятия строго запрещается разглашать кому-либо информацию выше уровня конфиденциально.
1) Общедоступной информацией является информация, уже опубликованная в средствах массовой информации.
Решение о придании статуса общедоступно принимает генеральный или технический директор.
1) Конфиденциальной информацией на предприятии является любая внутренняя информация предприятия.
2) Строго конфиденциальной информацией на предприятии является:
- коммерческая информация: тексты договоров и соглашений с партнерами и клиентами, разглашение которых было бы нежелательно для предприятия;
- техническая информация (тексты отчетов, ТЗ, значимые документы, продукты, ключи лицензирования и т.д.).
Решение о придании статуса строго конфиденциально коммерческой информации принимает генеральный директор.
Решение о придании статуса строго конфиденциально технической информации принимает технический директор.
1) Секретной информацией на предприятии является:
- финансовая информация о деятельности предприятия;
- особо важная техническая информация.
Решение о придании статуса секретно финансовой информации принимает генеральный директор.
Решение о придании статуса секретно технической информации принимает технический директор.
5.1.2 Рекомендации по категорированию пользователей информационной системы предприятия
Пользователи информационной системы предприятия должны быть категорированы с целью определения их уровня доступа к ресурсам.
Например, В информационной системе вводятся следующие категории пользователей:
- администраторы,
- топ-менеджеры,
- сотрудники,
- стажеры.
1) Группа администраторов – входят специалисты службы информационных технологий и информационной безопасности. Администраторы имеют доступ к ресурсам информационной системы с возможностью администрирования.
2) Группа топ-менеджеров – входят президент Компании, генеральный директор, технический директор.
3) Группа сотрудников – входят все сотрудники Компании.
4) Группа стажеров – входят сотрудники в период испытательного срока. Пользователи данной группы имеют минимальный уровень доступа к ресурсам информационной системы.
5.2 Инженерно-технические мероприятия
Инженерно-технические мероприятия — совокупность специальных технических средств и их использование для защиты информации. Выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.
Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа.
В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка в помещениях систем охранно-пожарной сигнализации, систем контроля и управления доступом.
Отдельные помещения могут быть оборудованы средствами защиты от утечки акустической (речевой) информации.
Рекомендуемые современные устройства поиска и защиты приведены в Приложении Б.
Рассмотрим некоторые технические средства, используемые в защищаемых АС.
5.2.1 Рекомендации по устранению несанкционированного использования диктофона
Проблема устранения нежелательных записей на диктофон на расстояниях ближе 1,5-2м решается многими методами.
Однако, в некоторых случаях это расстояние может потребоваться увеличить до 3-10м, что не позволяют сделать скрытно известные методы.
Предложим использовать для этого интерференционный метод. Поскольку звуковой диапазон (до 20кГц) не может быть применен для постановки помехи из-за восприятия его человеческим слухом, используем два излучателя в ультразвуковом диапазоне (30-50кГц). Их частоты F1
и F2
выбираем таким образом, чтобы ΔF= /F1-F2/<
(1-3) кГц.
Располагается аппаратура как показано на рис.5.1.
Здесь: 1-диктофон (предполагаемый);
2-аппаратура устранения записи (скрытно);
3-генератор гармонического сигнала частоты F1
с ультразвуковым излучателем;
4- то же на частоте F2;
D1 – расстояние предполагаемого диктофона от аппаратуры устранения записи (постановщика гармонической интерференционной помехи), может быть более 1,5-2м;
D2 – расстояние между излучателями (выбирается в пределах от нескольких сантиметров до десятков).
Принцип работы следующий: излучения гармонических ультразвуковых колебаний каждого в отдельности не прослушиваются человеческим слухом (однако тренированная собака их может уловить). Человеческое ухо достаточно линейно в амплитудном отношении и поэтому интерференционных явлений не будет.
Микрофон диктофона сугубо нелинейный элемент и поэтому на входе диктофона возникнет интерференционный процесс, который приведет к подавлению записи речи сигналом разностной частоты. Уровень ультразвуковых колебаний используется в пределах 80-100дБ и лучше, если он будет подобран опытным путем в аналогичном помещении и с диктофоном похожим на предполагаемый.
Этот метод может использоваться также и в автомобилях и в самолетах.
5.2.2 Рекомендации по защите информации постановкой помех
Рассмотрим несколько устройств и методов, которые могут быть использованы для улучшения постановки помех с целью защиты от несанкционированного доступа к информации.
Первое устройство может быть применено при решении различных задач постановки помех и повышения периода случайности в постановщиках помех.
Функциональная схема содержит генератор 1 равномерно распределенных случайных чисел, выход которого соединен со входом цифроаналогового преобразователя 2, блок 3 усреднения, выход которого соединен со входом сумматора 4, выход которого соединен со входом блока 5 сравнения, второй вход которого соединен с выходом цифроаналогового преобразователя 2, а выход - через прерыватель 6 и формирователь 7 импульсов соединен со входами генератора 1 равномерно распределенных случайных чисел и генератора 8 экспоненциального напряжения, выход которого соединен со входами блока 3 усреднения и сумматора 4.
Генератор пуассоновского потока импульсов работает следующим образом.
Генератор 1 случайных чисел вырабатывает случайное число, равномерно распределенное в некотором фиксированном интервале. На выходе цифроаналогового преобразователя 2 образуется аналоговый сигнал, амплитуда которого пропорциональна сформированному случайному числу.
Синхронно с генератором 1 случайных чисел включается и генератор 8, амплитуда выходного сигнала которого возрастает по экспоненциальному закону. Сигнал с выхода генератора 8 поступает на один из входов сумматора 4 и вход блока 3 усреднения, на выходе которого образуется сигнал пропорциональный разности теоретического и текущего средних значений непрерывного случайного напряжения с равномерным распределением амплитуд с выхода генератора 8. Этот сигнал поступает на другой вход сумматора 4. Напряжение на выходе сумматора 4 с помощью блока 5 сравнивается с аналоговым напряжением цифроаналогового преобразователя 2, и в момент равенства этих напряжений блок 5 выдает сигнал, который, проходя через прерыватель 6, поступает на вход формирователя 7 импульсов.
Сигнал с выхода формирователя 7 вновь запускает генератор 8 экспоненциального напряжения и считывает с генератора 1 вновь сформированное равномерно распределенное число.
Сигнал с выхода блока 3 усреднения выполняет функцию сигнала обратной связи, который автоматически поддерживает интенсивность пуассоновского потока на заданном уровне. Если текущее среднее случайное напряжение с выхода генератора 8 совпадает с теоретическим, то сигнал на выходе блока 3 отсутствует. При дрейфе параметров устройства на выходе блока 3 появляется разностный сигнал полярности, соответствующий отклонению интенсивности потока на выходе устройства от заданной. Этот сигнал, суммируясь с экспоненциально изменяющимся напряжением, компенсирует дрейф.
Использование новых блоков. — сумматора и блока усреднения позволяет повысить точность результатов исследований систем массового обслуживания, в которых применяется датчик потока электрических импульсов, распределенных по закону Пуассона; снизить требования к стабильности и температурной устойчивости источников питания и узлов датчика, что упростит конструктивные и схемные решения; устранить дополнительную погрешность, вызываемую усечением экспоненциального закона распределения, так как в предлагаемом устройстве устраняется необходимость выделения запаса по напряжению на случай дрейфа параметров.
Следующее устройство может быть использовано для создания специализированных моделирующих устройств, применяемых, в частности, для моделирования потоков сбоев при передаче дискретной информации по каналу связи в том числе и при несанкционированном доступе к информации.
Поставленная цель достигается тем, что в генератор случайного импульсного потока, содержащий последовательно соединенные генератор псевдослучайной последовательности импульсов, нелинейный цифроаналоговый преобразователь, компаратор, формирователь импульсов, выход которого соединен со входом генератора псевдослучайной последовательности импульсов, дополнительно введены блок задания закона распределения и последовательно соединенные управляемый генератор импульсов, счетчик импульсов, цифроаналоговый преобразователь, интегратор и сумматор, второй вход которого подключен к выходу дополнительного цифроаналогового преобразователя, выход сумматора соединен со вторым входом компаратора, причем выход формирователя импульсов соединен со вторым входом счетчика импульсов, в выход блока задания закона распределения подключен ко второму входу нелинейного цифроаналогового преобразователя.
Генератор случайного импульсного потока содержит генератор 1 псевдослучайной последовательности импульсов, блок 2 задания закона распределения, нелинейный цифроаналоговый преобразователь 3, интегратор 4, сумматор 5, компаратор 6, формирователь 7 импульсов, цифроаналоговый преобразователь 8, управляемый генератор 9 импульсов, счетчик 10 импульсов, шину и выхода случайного импульсного потока, шину 12 входа управления интенсивностью случайного потока.
Генератор работает следующим образом.
На выходе генератора 1 псевдослучайной последовательности импульсов формируется n-разрядное двоичное равномерно распределенное случайное число, поступающее на входы нелинейного цифроаналогового преобразователя 3, на выходе которого устанавливается уровень напряжения пропорциональный функции, обратной функции распределения, задаваемой блоком 2 задания закона распределения. Напряжение с выхода нелинейного цифроаналогового преобразователя 3 поступает на один из входов компаратора 6, на другой вход которого поступает напряжение с выхода сумматора 5, на входы которого подается линейно изменяющееся напряжение с выхода цифроаналогового преобразователя 8 и напряжение с выхода интегратора 4, представляющее разность между напряжениями, соответствующими теоретическому и текущему среднему, линейно изменяющемуся напряжению с выхода цифроаналогового преобразователя 8, подключенного ко входу интегратора 4. На разрядные входы цифроаналогового преобразователя 8 поступают числа с выхода счетчика 10, содержимое которого увеличивается по мере поступления на счетный вход импульсов с выхода управляемого генератора 9 импульсов, период поступления которых регулируется по требуемому закону путем подачи соответствующего управляющего воздействия на шину 12 входа управления интенсивностью случайного потока. При сравнении напряжений компаратор 6 изменяет свое состояние, что вызывает появление импульса на выходе формирователя 7 импульсов, который, поступая на шину сдвига генератора 1, вызывает формирования на выходе нового случайного числа, и, поступая на вход установки нуля счетчика 10, устанавливает его в нулевое состояние. Затем процесс формирования импульса случайного потока повторяется.
Интегратор 4 и сумматор 5 служат для стабилизации интенсивности случайного потока в процессе работы генератора случайного импульсного потока в процессе работы генератора случайного импульсного потока. Так, например, в результате температурного дрейфа параметров изменилась интенсивность потока на выходе устройства. Интегратор 4 формирует напряжение смещения, равное разности напряжений, соответствующих теоретическому и текущему среднему линейно изменяющемуся напряжению.
Напряжение смещения, поступая на один из входов сумматора 5, складывается с линейно изменяющимся напряжением с выхода цифроаналогового преобразователя 8, поступающим на другой вход с сумматора 5. Результирующее напряжение с выхода сумматора 5 поступает на один из входов компаратора 6, где происходит компенсация температурного дрейфа.
С помощью нелинейного цифроаналогового преобразователя 3, представляющего из себя полиномиальный цифроаналоговый преобразователь с регулируемыми коэффициентами полинома, возможна аппроксимация с требуемой точностью широкого класса функция распределения, что позволяет формировать на выходе генератора различные случайные потоки.
Предлагаемый генератор позволяет также генерировать нестационарные случайные потоки с произвольным законом изменения интенсивности. Это существенно расширяет область использования генератора случайного импульсного потока и устраняет необходимость разработки ряда специализированных генераторов.
5.3 Рекомендации по защите информации
, обрабатываемой в автоматизированных системах
В учреждении (предприятии) должен быть документально определен перечень ЗП и лиц, ответственных за их эксплуатацию в соответствии с установленными требованиями по защите информации, а также составлен технический паспорт на ЗП.
Защищаемые помещения должны размещаться в пределах КЗ. При этом рекомендуется размещать их на удалении от границ КЗ, обеспечивающем эффективную защиту, ограждающие конструкции (стены, полы, потолки) не должны являться смежными с помещениями других учреждений (предприятий).
Не рекомендуется располагать ЗП на первых этажах зданий.
Для исключения просмотра текстовой и графической конфиденциальной информации через окна помещения рекомендуется оборудовать их шторами (жалюзи).
Защищаемые помещения рекомендуется оснащать сертифицированными по требованиям безопасности информации ОТСС и ВТСС либо средствами, прошедшими специальные исследования и имеющими предписание на эксплуатацию.
Эксплуатация ОТСС, ВТСС должна осуществляться в строгом соответствии с предписаниями и эксплутационной документацией на них.
Специальная проверка ЗП и установленного в нем оборудования с целью выявления возможно внедренных в них электронных устройств перехвата информации "закладок" проводится, при необходимости, по решению руководителя предприятия.
Во время проведения конфиденциальных мероприятий запрещается использование в ЗП радиотелефонов, оконечных устройств сотовой, пейджинговой и транкинговой связи, переносных магнитофонов и других средств аудио и видеозаписи. При установке в ЗП телефонных и факсимильных аппаратов с автоответчиком или спикерфоном, а также аппаратов с автоматическим определителем номера, следует отключать их из сети на время проведения этих мероприятий.
Для исключения возможности утечки информации за счет электроакустического преобразования рекомендуется использовать в ЗП в качестве оконечных устройств телефонной связи, имеющих прямой выход в городскую АТС, телефонные аппараты (ТА), прошедшие специальные исследования, либо оборудовать их сертифицированными средствами защиты информации от утечки за счет электроакустического преобразования.
Для исключения возможности скрытного проключения ТА и прослушивания ведущихся в ЗП разговоров не рекомендуется устанавливать в них цифровые ТА цифровых АТС, имеющих выход в городскую АТС или к которой подключены абоненты, не являющиеся сотрудниками учреждения (предприятия).
В случае необходимости, рекомендуется использовать сертифицированные по требованиям безопасности информации цифровые АТС либо устанавливать в эти помещения аналоговые аппараты.
Ввод системы городского радиотрансляционного вещания на территорию учреждения (предприятия) рекомендуется осуществлять через радиотрансляционный узел (буферный усилитель), размещаемый в пределах контролируемой зоны.
При вводе системы городского радиовещания без буферного усилителя в ЗП следует использовать абонентские громкоговорители в защищенном от утечки информации исполнении, а также трехпрограммные абонентские громкоговорители в режиме приема 2-й и 3-й программы (с усилителем).
В случае использования однопрограммного или трехпрограммного абонентского громкоговорителя в режиме приема первой программы (без усиления) необходимо их отключать на период проведения конфиденциальных мероприятий.
В случае размещения электрочасовой станции внутри КЗ использование в ЗП электровторичных часов (ЭВЧ) возможно без средств защиты информации
При установке электрочасовой станции вне КЗ в линии ЭВЧ, имеющие выход за пределы КЗ, рекомендуется устанавливать сертифицированные средства защиты информации.
Системы пожарной и охранной сигнализации ЗП должны строиться только по проводной схеме сбора информации (связи с пультом) и, как правило, размещаться в пределах одной с ЗП контролируемой зоне.
В качестве оконечных устройств пожарной и охранной сигнализации в ЗП рекомендуется использовать изделия, сертифицированные по требованиям безопасности информации, или образцы средств, прошедшие специальные исследования и имеющие предписание на эксплуатацию.
Звукоизоляция ограждающих конструкций ЗП, их систем вентиляции и кондиционирования должна обеспечивать отсутствие возможности прослушивания ведущихся в нем разговоров из-за пределов ЗП.
Проверка достаточности звукоизоляции осуществляется аттестационной комиссией путем подтверждения отсутствия возможности разборчивого прослушивания вне ЗП разговоров, ведущихся в нем.
При этом уровень тестового речевого сигнала должен быть не ниже используемого во время штатного режима эксплуатации помещения.
Для обеспечения необходимого уровня звукоизоляции помещений рекомендуется оборудование дверных проемов тамбурами с двойными дверями, установка дополнительных рам в оконных проемах, уплотнительных прокладок в дверных и оконных притворах и применение шумопоглотителей на выходах вентиляционных каналов.
Если предложенными выше методами не удается обеспечить необходимую акустическую защиту, следует применять организационно-режимные меры, ограничивая на период проведения конфиденциальных мероприятий доступ посторонних лиц в места возможного прослушивания разговоров, ведущихся в ЗП.
Для снижения вероятности перехвата информации по виброакустическому каналу следует организационно-режимными мерами исключить возможность установки посторонних (нештатных) предметов на внешней стороне ограждающих конструкций ЗП и выходящих из них инженерных коммуникаций (систем отопления, вентиляции, кондиционирования).
Для снижения уровня виброакустического сигнала рекомендуется расположенные в ЗП элементы инженерно-технических систем отопления, вентиляции оборудовать звукоизолирующими экранами.
В случае, если указанные выше меры защиты информации от утечки по акустическому и виброакустическому каналам недостаточны или нецелесообразны, рекомендуется применять метод активного акустического или виброакустического маскирующего зашумления.
Для этой цели должны применяться сертифицированные средства активной защиты.
При эксплуатации ЗП необходимо предусматривать организационно-режимные меры, направленные на исключение несанкционированного доступа в помещение:
- двери ЗП в период между мероприятиями, а также в нерабочее время необходимо запирать на ключ;
- выдача ключей от ЗП должна производиться лицам, работающим в нем или ответственным за это помещение;
- установка и замена оборудования, мебели, ремонт ЗП должны производиться только по согласованию и под контролем подразделения (специалиста) по защите информации учреждения (предприятия).
Выводы по разделу 5
Для достижения максимальной эффективности системы защиты необходимо использовать ряд организационных и инженерно-технических мероприятий в комплексе. В связи с этим, установлено, что главной особенностью организационных мероприятий по защите информации является четкое формирование требований, инструкций и правил для работы системы защиты, а также проведение инструктажей с персоналом относительно этого.
Разработаны рекомендации для пользователей и обслуживающего персонала, которые являются основой при проведении организационных мероприятий по защите информации, предложен простой способ скрытного устранения несанкционированного использования диктофона, а также несколько эффективных устройств и методов для постановки помех с целью устранения несанкционированного доступа к информации.
Также предложены требования и рекомендации по защите информации в АС.
ОХРАНА ТРУДА
Задача проектирования системы защиты информации предусматривает непосредственную работу с различной техникой (компьютеры, генераторы шума, сетевые фильтры и т.д.), которая, в свою очередь, может является источником электрических и электромагнитных воздействий. Данные факторы могут представлять угрозу человеческому здоровью, поэтому необходимо предусматривать определенные меры защиты.
Методы защиты от электромагнитных полей
Общими методами защиты от электромагнитных полей и излучений являются следующие:
- уменьшение мощности генерирования поля и излучения непосредственно в его источнике, в частности за счет применения поглотителей электромагнитной энергии;
- увеличение расстояния от источника излучения;
- уменьшение времени пребывания в поле и под воздействием излучения;
- экранирование излучения;
- применение средств индивидуальной защиты.
Излучающие антенны необходимо поднимать на максимально возможную высоту и не допускать направления луча на рабочие места и территорию предприятия.
Уменьшение мощности излучения обеспечивается правильным выбором генератора, в котором используют поглотители мощности, ослабляющие энергию излучения.
Для сканирующих излучателей в секторе, в котором находится защищаемый объект – рабочее место, применяют способ блокирования излучения или снижение его мощности. Экранированию подлежат либо источники излучения, либо зоны нахождения человека. Экраны могут быть замкнутыми (полностью изолирующими излучающее устройство или защищаемый объект) или незамкнутыми, различной формы и размеров, выполненными из сплошных, перфорированных, сотовых или сетчатых материалов.
Отражающие экраны выполняют из хорошо проводящих материалов, например стали, меди, алюминия толщиной не менее 0,5 мм из конструктивных и прочностных соображений.
Кроме сплошных, перфорированных, сетчатых и сотовых экранов могут применяться: фольга, наклеиваемая на несущее основание; токопроводящие краски (для повышения проводимости красок в них добавляют порошки коллоидного серебра, графита, сажи, окислов металлов, меди, алюминия), которыми окрашивают экранирующие поверхности; экраны с металлизированной со стороны падающей электромагнитной волны поверхностью.
Для увеличения поглощающей способности экрана их делают многослойными и большой толщины, иногда со стороны падающей волны выполняют конусообразные выступы.
Средства индивидуальной защиты (СИЗ). К СИЗ, которые применяют для защиты от электромагнитных излучений, относят: радиозащитные костюмы, комбинезоны, фартуки, очки, маски и т.д. Данные СИЗ используют метод экранирования.
Эффективность костюма может достигать 25...30 дБ. Для защиты глаз применяют очки специальных марок с металлизированными стеклами. Поверхность стекол покрыта пленкой диоксида олова. В оправе вшита металлическая сетка, и она плотно прилегает к лицу для исключения проникновения излучения сбоку. Эффективность защитных очков оценивается в 25...35 дБ.
Так же как и для других видов физических полей, защита от постоянных электрических и магнитных полей использует методы защиты временем, расстоянием и экранированием.
Электробезопасность
Компьютер является электрическим устройством с напряжением питания 220/380В трехфазной четырехпроводной сети с заземленной нейтралью.
В мониторе используется напряжение в несколько десятков киловольт. Во избежание поражения электрическим током, возникновения пожара и повреждения компьютера следует соблюдать следующие меры безопасности:
- запрещается включать компьютер и периферию со снятой крышкой;
- запрещается эксплуатация компьютера с неисправным шнуром питания;
- запрещается подключать к компьютеру периферийные устройства при включенном питании;
- запрещается эксплуатация компьютера в помещении с высокой влажностью или сильно загрязненным воздухом;
- при эксплуатации требуется принять меры, исключающие удары и падения компьютера;
- не допускается попадание внутрь компьютера и периферии посторонних предметов, жидкостей и сыпучих веществ;
- не допускаются перегибы, передавливания и натяжения питающих кабелей;
- не допускается устанавливать компьютер вблизи источников тепла;
- не допускается закрывание вентиляционных отверстий компьютера и периферии.
Все электронные устройства необходимо занулить.
Электропитание рабочего места должно быть подключено через рубильник, установленный в месте, удобном для быстрого отключения питания рабочего места, а также должны быть предприняты меры для обесточивания рабочего места в аварийных режимах (Обычно ставится автоматический выключатель с защитой от короткого замыкания).
ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ
При разработке СИБ разработчик должен оценивать потери, которые понесет АИС в результате реализации той или иной угрозы. В то же время должна учитываться величина выигрыша нарушителя, и сделать так, чтобы данная величина минимизировалась.
При исследовании возможных потерь АИС вследствие реализации угроз, требуется изучать множество ресурсов АИС и потенциальных угроз и по отношению к каждому ресурсу найти решения, связанные со следующими обстоятельствами:
- определение круга заинтересованных лиц в использовании активов АИС.
- определение целей нарушителя.
- установление размеров выгоды полученной нарушителем вследствие реализации одной или комплекса угроз.
- оценка размеров затрат, которые нарушитель готов понести для
- достижения поставленной цели.
При оценке эффективности СИБ необходимо рассматривать свойства информации и ресурсы АИС, которые подлежат защите с точки зрения собственника информации, так как только собственник может определить что нужно защищать и дать стоимостную оценку тому или иному свойству и/или ресурсу.
Для описания экономической эффективности разработки, внедрения и эксплуатации СИБ, введем следующие обозначения:
Пусть существует некоторый актив АИС А,
который характеризуется множеством свойств .
Тогда:
,
где -
подмножество свойств ресурса А, которые не нуждаются в защите;
-
подмножество свойств ресурса А, которые подлежат защите;
-вероятность появления i-й угрозы (в соответствии с таблицей) в рассматриваемом интервале времени t
, где i=1…
п.
- стоимостной эквивалент потери свойства j
ресурсом А
вследствие воздействия угрозы i
(воздействие угроз, потеря одного и того же свойства у одного и того же объекта может быть по разному, например: полная, частичная и т.д.). В дальнейших исследованиях, различные степени потери одного и того же свойства (ресурса) АИС будем рассматривать как разные;
,
где -потенциальные потери актива А
АИС вследствие воздействия угрозы i
;
,
где - потенциальные потери АИС вследствие реализации i
-й угрозы.
Тогда стоимостной эквивалент вероятных потенциальных потерь АИС вследствие реализации потенциальных угроз (S)
равен:
Иначе
С учетом вероятности появления i
-й угрозы данное выражение можно записать следующим образом:
Z -
совокупность средств, методов и механизмов защиты АИС, которая определяется как: ;
-
вероятность распознавания и противостояния z-м механизмом защиты АИС угрозы i
;
,
где - стоимостной эквивалент вероятных потерь АИС вследствие реализации всех потенциальных угроз при условии использования множества средств, методов и механизмов защиты Z.
-
общий показатель уменьшения потерь при использовании СИБ и эффективного противостояния СИБ угрозам;
Величина вероятных затрат () на восстановление АИС:
где -
затраты, необходимые для восстановления первоначального j-го свойства состояния нормальной работы АИС в течении планируемого жизненного цикла (T).
Показатель "эффективность-стоимость" инвестиций в СИБ АИС (R)
тогда можно записать следующим образом:
Предложенный метод является статичным. Актуализацию величин риска и затрат на создание, внедрение и эксплуатацию СИБ можно провести с использованием известными методами актуализации из теории экономического анализа [41].
Рассмотрим взаимосвязь между величиной риска и затратами на обеспечение информационной безопасности.
На рис. 7.1 представлена зависимость между затратами на обеспечение информационной безопасности и величиной риска АИС.
Для количественного анализа зависимости между затратами на обеспечение информационной безопасности и риска используем понятие эластичности.
Эластичность риска по затратам на обеспечение безопасности данных измеряет чувствительность риска к изменению величины затрат на обеспечение безопасности информации (насколько изменятся уровень риска при изменении затрат на обеспечение информационной безопасности на 1%). Она определяется как отношение процентного изменения величины риска к процентному изменению затрат.
- изменение затрат на обеспечение безопасности информации;
-
изменение риска при изменении затрат на обеспечение безопасности информации.
где ЕR
(С
) - эластичность риска по затратам;
% - процентное изменение затрат па обеспечение безопасности данных;
%
- процентное изменение риска при изменение затрат;
Эластичность риска по затратам может быть больше или равна нулю. Когда она равна нулю, то можно утверждать, что даже незначительные затраты на обеспечение безопасности информации приведут к значительному уменьшению риска.
В соответствии с общей теорией экономики [41] оптимальным уровнем риска для коммерческих АИС можно считать тогда, когда эластичность функции риск - затраты равна 1.
ВЫВОДЫ И РЕКОМЕНДАЦИИ
Проанализирован перечень основных нормативно-правовых документов регламентирующих проектирование АИС в защищенном исполнении. В качестве основных документов рассматривались источники [1-8,10-14].
Проанализированы особенности каждого класса АС. Наиболее требовательными к защите являются 1-й и 2-й классы. Рассмотрение 3-го класса АС было опущено. Однако проектирование системы защиты в такой АС не значительно отличается от рассмотренных подходов.
Проанализирован порядок создания КСЗИ. Установлено, что такая разработка обычно состоит из четырех этапов. Наиболее ответственным является третий этап, так как именно на данном этапе реализуются все защитные мероприятия по требованиям и техническому решению, принятым на предыдущих этапах.
Были установлены основные требования к защите как конфиденциальной, так и секретной информации от несанкционированного доступа. Требования были сформированы в результате условно разделенных подсистем АС, в состав которых входит:
- подсистема управления доступом;
- подсистема регистрации и учета;
- подсистема обеспечения целостности.
Проанализированы основные принципы защитных мероприятий от несанкционированного доступа в АС, на основании которых установлено, что реализация таких принципов осуществляется с помощью так называемого "монитора обращений".
Для повышения эффективности используемых защитных мероприятий был проведен их математический анализ. На основании такого анализа установлено, что реализация защитных мероприятий для каждого предприятия (объекта) различна, соответственно и эффективность таких мероприятий от НСД для одних объектов будет выше (объекты большого бизнеса), а для других ниже (объекты малого бизнеса).
Проанализированы основные методы оценки эффективности защитных мероприятий в АС. К числу таковых относятся:
- классический;
- официальный;
- экспериментальный.
Разработан подход к оценке эффективности защитных мероприятий АС от НСД, для определения которой достаточно только иметь данные о необходимых требованиях защищённости и данные о полноте выполнения этих требований.
Предложены возможные пути оптимизации защитных мероприятий в АС путем выбора контролируемых параметров по различных показателям эффективности.
Разработаны инструкции и правила для пользователей и обслуживающего персонала, которые являются основой в проведении организационных мероприятий по защите информации.
Предложен простой способ скрытного устранения несанкционированного использования диктофона.
Предложено и рассмотрено несколько эффективных устройств и методов для постановки помех с целью устранения несанкционированного доступа к информации.
СПИСОК ИСТОЧНИКОВ
1. Закон України «Про інформацію» від 2.10.1992 р.
2. Закон України "Про захист інформації в автоматизованих системах"
3. НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.
4. НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.
5. НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі.
6. http://www.rts.ua/ – ДСТУ (Государственные стандарты Украины) имеющие отношение к АСУ ТП
7. ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения"
8. НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу.
9. Нечаев М. Правовые и организационные основы комплексных систем защиты информации // Корпоративные системы. – 2008. – №2. – С.54-57.
10. НД ТЗИ 3.7-003-05 "Порядок проведения работ по созданию комплексной системы защиты информации в информационно-телекоммуникационной системе"
11. ГОСТ 34.602-89 Техническое задание на создание автоматизированной системы.
12. ДСТУ 3396.0-96 Захист інформації. Технічний захист інформації. Основні положення.
13. НД ТЗІ 3.6-001-2000. Технічний захист інформації. Комп'ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу
14. НД ТЗІ 2.5-008-02. Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2.
15. Измалкова С.А., Тарасов А.В. Принципы построения эффективной системы информационной безопасности // Управление общественными и экономическими системами. – 2006. – № 2
16. http://kiev-security.org.ua/ - Проблемы комплексной безопасности компьютерных систем
17. ГОСТ 34.603-92. Информационная технология. Виды испытаний автоматизированных систем. М.. 1993.
18. Бугайский К. Проблемы построения систем информационной безопасности //"Information Security/ Информационная безопасность" – 2008. – №2
19. Масюк М.И. НСД: теория и практика // "Специальная Техника". – 2003. – №3
20. Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах. – М.: Горячая линия-Телеком, 2001. – 148 с.: ил.
21. Домарев В. В. Безопасность информационных технологий. Методология создания систем защиты. – Киев: ООО «ТИД «ДС». 2001. – 688 с.
22. http://all-safety.ru/ Подходы к оценке эффективности КСЗИ
23. http://www.vuzlib.net/ Оценка эффективности организационных проектов
24. Ю.Г. Бугров Системные основы оценивания и защиты информации: Учеб. пособие / Воронеж: Воронеж. гос. техн. ун-т, 2005. 354 с.
25. Головань В.Г., Кравченко С.И. Анализ возможностей повышения эффективности систем защиты информации на этапах их проектирования // Використання сучасних інформаційних технологій у підготовці та професійній діяльності правознавців: Матеріали V Молодіжної наукової конф. Одеськ. націон. юридичн. акад., 15 травня 2009 р. – Одеса: ОНЮА, 2009. – С.8-13.
26. Галкин А.П. Определение коэффициента готовности разрабатываемой радиоэлектронной аппаратуры, Сб. науч. тр. ВВПИ, вып. 9, Владимир, 1970, с.39-43.
27. Головенкин В.П. Об одном критерии качества автоматического контроля функционирования радиоэлектронной аппаратуры, «Вопросы радиоэлектроники», сер.ХП, вып.25, 1965, с.34-39
28. Убар P.P. О выборе контролируемых параметров. «Автоматика и вычислительная техника», № 3, 1971, с.47-52
29. Сергеев А.Г., Галкин А.П. К вопросу оптимального выбора диагностируемых параметров при испытаниях РЭА, Мат. сем. «Методы математического и физического моделирования и оптимизации параметров РЭА по результатам испытаний» ЦП, МП НТОРЭС М.,МдаТП, 1971,с.51-54.
30. Галкин А.П. Оценка эффективности связи на различных уровнях, Материалы ЕГГК «Эффективность и надежность сложных технических систем», М., МДНТП,1985, с,34-36
31. Барвинский Л.Л. Обоснование деления периодически использующейся радиоэлектронной аппаратуры на блоки с контролируемой работоспособностью. «Известия ВУЗов. Радиоэлектроника», №1, 1964, с.41-46.
32. http://www.am-soft.com.ua/ Информационный лист «Комплексные системы защиты информации»
33. Духан Е.И., Синадский Н.И., Хорьков Д. А. Применение программно-аппаратных срежств защиты компьютерной информации. Учебное пособие / Е.И. Духан, Н.И. Синадский, Д.А. Хорьков; науч. ред. д-р техн. наук, проф. Н.А. Гайдамакин. Екатеринбург: УГТУ-УПИ, 2008. – 182 с.
34. Меньшаков Ю.К. Защита объектов и информации от технических средств разведки. – М.: Росийск. гос. гуманит. ун-т, 2002. – 399 с.
35. Партыка Т.Л., Попов И.И. Информационная безопасность. Учебное пособие для студентов учреждений среднего профессионального образования. – М.: ФОРУМ: ИНФРА-М, 2002. - 368 с.: ил.
36. Сидорин Ю.С. Технические средства защиты информации:
Учеб. пособие. СПб.: Изд-во Политехн. ун-та, 2005. 141 с.
37. Торокин А.А. Инженерно-техническая защита информации. – М.: Гелиос АРВ, 2005. – 960 с.: ил.
38. Хорев А.А. Способы и средства зашиты информации. - М.: МО РФ, 2000. - 316 с.
39. Хорев А.А. Защита информации от утечки по техническим каналам. Часть 1. Технические каналы утечки информации. Учебное пособие. М.: Гостехкомиссия России, 1998. - 320 с.
40. Хорев А.А. Методы и средства поиска электронных устройств перехвата информации.- М.: МО РФ, 1998. - 224 с.
41. Фишер С. и др. Экономика. Пер. с .англ. -М.:"Демо ЛТД". -1994. - 864с.
42. Методы и средства защиты информации. В 2-х томах / Ленков С.В., Перегудов Д.А., Хорошко В.А., Под ред. В.А. Хорошко. - К. : Арий, 2008. - Том I. Несанкционированное получение информации. - 464 с, ил.
43. Методы и средства защиты информации. В 2-х томах / Ленков СВ., Перегудов -Д.А., Хорошко В.А., Под ред. В.А. Хорошко. - К. : Арий, 2008. - Том II. Информационная безопасность. - 344 с, ил.
ПРИЛОЖЕНИЕ А
Основные инструкции и правила для пользователей и обслуживающего персонала
Проект
А.1 Инструкция пользователя по соблюдению режима информационной безопасности
А.1.1 Общие требования
При работе с информационными ресурсами предприятия каждый сотрудник обязан:
- обеспечивать, исходя из своих возможностей и специальных обязанностей по обеспечению безопасности информации, защиту от несанкционированного доступа к информации, к которой он имеет санкционированный доступ в силу своих служебных обязанностей;
- ни в какой форме не участвовать в процессах несанкционированного доступа к информации, принадлежащей другим сотрудникам и службам;
- ни в какой форме не использовать ставшую ему известной в силу исполнения своих функциональных обязанностей информацию не по прямому назначению;
- при нарушении установленных правил доступа другими сотрудниками сообщать об этом непосредственному начальнику, ответственным администраторам или в Службу безопасности.
Ремонтные и профилактические регламентные работы должны производиться только уполномоченными лицами эксплуатационной службы по согласованию с руководителем (ответственным лицом) подразделения, в котором установлено компьютерное оборудование. Порядок снятия, переноса, модификации аппаратной конфигурации устанавливается Регламентом проведения такого рода работ и осуществляется только уполномоченными лицами эксплуатационной службы.
А.1.2 Работа в автоматизированной информационной системе
При работе в автоматизированной информационной системе предприятия пользователь обязан:
- сохранять в тайне пароли доступа к системе (системам);
- надежно хранить физические ключи (идентификаторы) доступа;
- периодически изменять личные пароли, если это предписано регламентом управления доступом;
- при случайном получении (сбой механизмов защиты, аварии, небрежность персонала и др.) доступа к чужой конфиденциальной информации прекратить какие-либо действия в системе и незамедлительно сообщить в Службу безопасности и администратору системы;
- сообщать в службу безопасности и администратору системы об известных каналах утечки, способах и средствах обхода или разрушения механизмов защиты.
При работе в автоматизированной информационной системе предприятия пользователю запрещается (кроме особо оговорённых случаев):
- записывать в любом доступном виде или произносить вслух известные пользователю пароли;
- регистрироваться и работать в системе под чужим идентификатором и паролем;
- передавать идентификаторы и пароли кому бы то ни было;
- оставлять без контроля рабочее место в течение сеанса работы;
- позволять производить любые действия с закреплённым за пользователем комплектом программно-аппаратных средств другим лицам;
- несанкционированно изменять или уничтожать данные или программы в сети или на внешних (отчуждаемых) носителях;
- оставлять без контроля носители критичной информации;
- использовать компьютерную технику в нерабочее время не по прямому назначению;
- заниматься исследованием вычислительной сети;
- игнорировать системные сообщения и предупреждения об ошибках;
- несанкционированно устанавливать на автоматизированные рабочие места любые дополнительные программные и аппаратные компоненты и устройства;
- копировать на съёмные носители любое программное обеспечение и файлы данных;
- использовать для передачи информации ограниченного доступа не предназначенные для этого средства и каналы связи.
А.2 Инструкция по безопасному уничтожению информации и оборудования
- Перед утилизацией оборудования все его компоненты, включая носители информации, например, жесткие диски, необходимо проверять, чтобы гарантировать, что конфиденциальные данные и лицензированное программное обеспечение были удалены.
- Носители информации, содержащие ценную информацию, при списании должны быть физически уничтожены, или должна осуществляться многократная (или на физическом уровне) перезапись информации.
- Поврежденные запоминающие устройства, содержащие особо ценные данные, могут потребовать оценки рисков для того, чтобы определить, следует ли их уничтожить или ремонтировать.
- Каждый случай уничтожения носителей конфиденциальной информации необходимо регистрировать.
Следующая информация на носителях перед списанием, ремонтом или утилизацией носителя должна быть надежно удалена:
- входная документация;
- выходные отчеты;
- информация на жёстких дисках;
- информация на магнитных лентах;
- информация на съемных дисках или кассетах;
- распечатки программ;
- тестовые данные;
- системная документация.
Необходимо также уничтожать копировальную бумагу и одноразовые ленты для принтеров, так как на них может находиться остаточная информация.
А.3 Правила парольной защиты
Пользователи должны следовать установленным в Компании процедурам поддержания режима безопасности при выборе и использовании паролей.
Пароли являются основным средством подтверждения прав доступа пользователей к информационным системам.
Пользователь обязан:
- Не разглашать идентификационные данные.
- Использовать пароли, отвечающие критериям качественного пароля, принятым в Компании.
- Менять временный пароль при первом входе в информационную систему.
- Регулярно менять пароли.
- Не использовать автоматический вход в систему.
Политика паролей для пользовательских учетных записей
1) Длина пароля – не менее 8 символов.
2) Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.
3) Максимальный срок действия пароля должен быть ограничен двумя месяцами.
4) Учетная запись пользователя, не сменившего вовремя пароль, должна автоматически блокироваться. Блокировка должна сниматься «вручную» системным администратором или специалистом службы технической поддержки с одновременной сменой пароля пользователя.
5) Новый пароль пользователя не должен совпадать как минимум с тремя предыдущими паролями.
6) Пароль не должен совпадать с именем учетной записи пользователя.
7) Для предотвращения попыток подбора пароля после 5 неудачных попыток авторизации учетная запись пользователя должна блокироваться на 30 минут, после чего блокировка должна автоматически сниматься. В журнал системных событий сервера должно заноситься сообщение о многократно неудавшихся попытках авторизации пользователя.
8) Рекомендуется, чтобы пароли пользователей на доступ к различным ресурсам корпоративной информационной системы (для учетных записей домена, электронной почты, базы данных) различались.
9) Недопустимо хранение пароля в открытом виде на любых видах носителей информации.
Политика паролей для административных учетных записей
10) Длина пароля – не менее 16 символов.
11) Пароль обязательно должен включать в себя прописные и строчные буквы, цифры, специальные символы.
12) Максимальный срок действия пароля должен быть ограничен одним месяцем.
13) Новый пароль пользователя не должен совпадать как минимум с предыдущим паролем.
14) Пароль не должен совпадать с именем учетной записи пользователя.
15) В случае неудавшейся попытки авторизации в журнал системных событий сервера должно заноситься соответствующее сообщение. При многократных неудавшихся попытках авторизации должно генерироваться предупреждение системы обнаружения вторжений.
16) Пароли на доступ к различным ресурсам должны различаться, не допускается использование универсальных паролей для административных учетных записей.
17) Недопустимо хранение пароля в открытом виде на любых видах носителей информации.
18) Криптографические ключи, используемые для аутентификации, должны быть защищены парольными фразами. Требования к стойкости парольных фраз криптографических ключей идентичны требованиям к паролям административных учетных записей.
А.4 Правила защиты от вредоносного программного обеспечения
На предприятии должны быть реализованы меры по обнаружению и предотвращению проникновения вредоносного программного обеспечения в систему и процедуры информирования пользователей об угрозах вредоносного программного обеспечения. При создании соответствующих мер для защиты от вредоносного программного обеспечения следует учесть:
- На предприятии должна быть определена формальная политика, требующая соблюдения условий лицензий на использование программного обеспечения и запрещающая использование несанкционированных программ.
- Антивирусные программные средства следует использовать следующим образом:
1) программные средства обнаружения конкретных вирусов (которые должны регулярно обновляться и использоваться в соответствии с инструкциями поставщика) следует применять для проверки компьютеров и носителей информации на наличие известных вирусов;
2) программные средства обнаружения изменений, внесенных в данные, должны быть по необходимости инсталлированы на компьютерах для выявления изменений в выполняемых программах;
3) программные средства нейтрализации вредоносного программного обеспечения следует использовать с осторожностью и только в тех случаях, когда характеристики вирусов полностью изучены, а последствия от их нейтрализации предсказуемы.
- Необходимо проводить регулярную проверку программ и данных в системах, поддерживающих критически важные производственные процессы. Наличие случайных файлов и несанкционированных исправлений должно быть расследовано с помощью формальных процедур.
- Дискеты неизвестного происхождения следует проверять на наличие вредоносного программного обеспечения до их использования.
- Необходимо определить процедуры уведомления о случаях поражения систем компьютерными вирусами и принятия мер по ликвидации последствий от их проникновения. Следует составить надлежащие планы обеспечения бесперебойной работы организации для случаев вирусного заражения, в том числе планы резервного копирования всех необходимых данных и программ и их восстановления.
Например, на предприятии должны выполняться следующие правила:
- В информационной системе предприятия должно быть установлено только лицензионное программное обеспечение (согласно Перечню программного обеспечения, разрешенного к использованию в ИС предприятия). Использование нелицензионного программного обеспечения недопустимо.
- На всех рабочих станциях и серверах должно быть установлено антивирусное программное обеспечение.
- Обновление антивирусных баз должно происходить ежедневно или по мере поступления обновлений от производителя антивирусного программного обеспечения.
- В информационной системе предприятия регулярно (не реже чем раз в три дня) должно проводиться полное сканирование всех файлов на предмет обнаружения вредоносного программного обеспечения.
- Все входящие файлы должны автоматически проверяться на вирусы.
- Системы, занимающиеся обработкой критичных данных, должны постоянно анализироваться на предмет обнаружения вредоносного кода.
- Если возникает ситуация, когда следует отключить антивирусное программное обеспечение (конфликт между установленным программным обеспечением и др.), то следует получить разрешение у специалиста службы информационной безопасности и сообщить об этом специалисту службы информационных технологий. После проведения процедур специалист службы информационных технологий обязан незамедлительно включить антивирусное программное обеспечение.
Сотрудникам предприятия строго запрещается:
- Выключать антивирусное программное обеспечение.
- Запускать какие-либо файлы, полученные по электронной почте, на исполнение.
- Загружать файлы с неизвестных ресурсов.
- Разрешать удалённый доступ на запись к папкам, если это не требуется для выполнения бизнес-функций.
А.5 Правила осуществления удаленного доступа
На предприятии должна быть разработана политика удаленного доступа к информационной системе предприятия. Все пользователи должны быть ознакомлены с политикой под роспись. При создании правил осуществления удаленного доступа следует учесть:
- Средства защиты, которые должны быть установлены на ресурсе, с которого осуществляется доступ.
- Перечень сведений, к которым может осуществляться удаленный доступ.
- Группы пользователей, которые могут осуществлять удаленный доступ к ресурсам информационной системы предприятия.
- Вид доступа групп пользователей, которые могут осуществлять удаленный доступ к ресурсам информационной системы предприятия (матрица доступа).
- Каналы, по которым может осуществляться удаленный доступ.
- Правила работы в сети Интернет и использования электронной почты.
- Программное обеспечение, с помощью которого может осуществляться удаленный доступ к ресурсам информационной системы предприятия.
А.6 Правила осуществления локального доступа
- Все пользователи осуществляют доступ только к выделенным им при поступлении на работу персональным компьютерам.
- Пользователи и администраторы должны, уходя со своего рабочего места, блокировать доступ к своему рабочему компьютеру.
- Обязательно корректно завершать сессии на серверах по их окончании (а не просто выключать компьютеры или терминалы).
- Пользователям и администраторам СТРОГО запрещается :
1) выключать антивирусные мониторы и персональные межсетевые экраны без разрешения специалиста службы информационной безопасности;
2) сообщать кому-либо свои идентификационные данные и передавать электронные ключи доступа к персональным компьютерам;
3) осуществлять доступ к персональным станциям других пользователей или к серверам;
4) пытаться осуществлять несанкционированный доступ к любым объектам корпоративной сети.
ПРИЛОЖЕНИЕ Б
Рекомендуемые современные средства поиска от утечки и защиты информации в помещениях
Комплекс контроля радиоэлектронной обстановки и выявления средств несанкционированного съема информации ТОР
Назначение
Компьютерный комплекс «ТОР» представляет собой мощную расширяемую аппаратную платформу, предназначенную для решения различных задач радиоконтроля и анализа электромагнитной обстановки, в том числе для автоматического обнаружения, идентификации, локализации и нейтрализации подслушивающих устройств, передающих данные по радио каналу и проводным линиям. Может использоваться для организации как стационарных, так и мобильных постов радиоконтроля. Высокая скорость обзора, чувствительность и разрешающая способность позволяют комплексу быстро и надежно выявлять и оценивать параметры любых источников радиоизлучений в диапазоне частот до 18 ГГц. Комплекс оснащается надежными программными средствами автоматического обнаружения, анализа, классификации и регистрации сигналов с возможностями определения местоположения выявленных подслушивающих устройств и их блокировки. Комплектуется специальными антеннами и дополнительными аппаратными и программными средствами, расширяющими возможности комплекса в различных условиях эксплуатации.
В составе комплекса применяются радиоприемные устройства отечественного производства. Сертификат ВОЕНТЕСТ. Не имеет аналогов.
Особенности комплекса
- расширяемый до 18 ГГц частотный диапазон;
- встроенный антенный коммутатор;
- векторный анализатор радиосигналов;
- встроенный компьютер с повышенной надежностью;
- мобильное исполнение;
- возможность подключения дополнительных устройств;
- повышенная производительность и достоверность обнаружения сигналов за счет высокой скорости сканирования (1,4 ГГц/с), разрешающей способности (2 кГц) и чувствительности (0,08 мкВ) в диапазоне частот до 18 ГГц;
- высокая достоверность идентификации любых подслушивающих устройств непрерывного режима излучения:
1) с аналоговой узкополосной (2-50 кГц) и широкополосной (50-220 кГц) АМ, ЧМ модуляцией, в т. ч. с инверсией спектра;
2) с цифровой АМ, ЧМ (до 8 МГц) вне зависимости от алгоритма кодирования информации, в том числе стандартов DECT, GSM;
3) телевизионные передатчики вне зависимости от кодирования сигналов, яркости и цвета;
- • высокая достоверность идентификации любых подслушивающих устройств с промежуточным накоплением акустической информации и последующей ее передачей короткими пакетами с повышенной скоростью:
1) - с малым временем промежуточного накопления;
2) - с большим временем промежуточного накопления;
- • анализ радиосигналов в частотной (спектральной) и временной области, исследование характеристик модуляции, а так же цифровой регистрации импульсных и однократных излучений;
- • высокая скорость развертывания, повышенную надежность и устойчивость к внешним воздействиям в условиях мобильной эксплуатации;
- • эксплуатация комплекса в различных конфигурациях при оснащении дополнительным оборудованием: антенно-фидерными устройствами, СВЧ преобразователями частоты, антенными коммутаторами, сетевыми адаптерами для подключения к сети электропитания и проводным линиям, генераторами для оперативного блокирования выявленных каналов утечки информации.
Комплекс разработан на основе многолетнего опыта создания подобных систем и воплощает самые последние достижения в области цифровой обработки сигналов и алгоритмов радиоконтроля, в частности, обнаружения и идентификации подслушивающих устройств. Пространственная локализация и обнаружение источников излучений в системе разнесенного по четырем антеннам приема обеспечивает выявление подслушивающих устройств в контролируемом помещении независимо от используемых методов маскировки речевой информации. Дополнительные возможности по идентификации подслушивающих устройств с новейшими методами передачи предоставляет цифровой векторный анализатор комплекса, который регистрирует в памяти временные, спектральные и модуляционные характеристики импульсных и однократных сигналов, используемых в системах с временным разделением каналов и псевдослучайной перестройкой частоты.
Комплекс может использоваться как для оперативного поиска подслушивающих устройств, так и для постоянного автоматического анализа электромагнитной обстановки в одном или нескольких контролируемых помещениях. Работой комплекса управляет программа, выполняющая все операции сбора, статистической обработки и представления информации с сохранением результатов в базе данных. Возможности программы позволяют применять комплекс для решения стандартных задач радиоконтроля: обнаружения, измерения параметров и классификации сигналов по различным критериям, контроля заданных диапазонов, отдельных фиксированных частот и др.
Программное обеспечение комплекса, которое охватывает как исполняемые на встроенном компьютере программы управления и анализа сигналов, так и программные коды контроллеров и цифровых процессоров сигналов, постоянно развивается и модернизируется. Обновление версий программного обеспечения всех уровней может выполняться по электронной почте или через Интернет.
Анализатор проводных коммуникаций LBD-50
Назначение
Для поиска несанкционированных гальванических подключений к проводным линиям любого назначения.
В анализаторе реализован комплекс методов обнаружения: исследование нелинейных преобразований сигналов, подаваемых в линию, анализ переходных процессов в линии, измерения параметров линий - тока утечки, сопротивления изоляции.
Анализатор обнаруживает подключения устройств, предназначенных для:
- перехвата информации;
- передачи материалов перехвата;
- обеспечения электропитанием.
Алгоритм обследования, заложенный в анализаторе, исключает срабатывание защитных сторожевых схем в объектах поиска.
Входящие в комплект кабели и принадлежности обеспечивают возможность подключения к анализируемым линиям практически во всех возможных ситуациях, что позволяет проводить обследование любых проводных коммуникаций независимо от их назначения.
Комплект прибора содержит специальный трассоискатель, позволяющий бесконтактным способом найти обследуемую линию в распределительном шкафу, жгуте и т. п.
Технические характеристики
- Тип обнаруживаемых подключений: параллельные и последовательные.
- Состав обнаруживаемых подключений: нелинейные элементы, R, С элементы.
- Диапазон измерения токов утечки: от 0,1 до 200 мА.
- Диапазон измерения сопротивления изоляции: от 100 кОм до 20 МОм.
- Длина анализируемой линии: от 800 до 50 м, в зависимости от погонной емкости.
- Питание: 220 В, 50 Гц.
- Габариты: 500 х 400 х 140 мм.
- Масса: 4 кг
Комплекс виброакустической защиты объектов информатизации 1-й категории БАРОН
Назначение
Для защиты объектов информатизации 1 категории и противодействия техническим средствам перехвата речевой информации (стетоскопы, направленные и лазерные микрофоны, выносные микрофоны) по виброакустическим каналам (наводки речевого сигнала на стены, пол, потолок помещений, окна, трубы отопления, вентиляционные короба и воздушная звуковая волна).
Имеет четыре канала формирования помех, к каждому из которых могут подключаться вибропреобразователи пьезоэлектрического или электромагнитного типа, а также акустические системы, обеспечивающие преобразование электрического сигнала, формируемого прибором, в механические колебания в ограждающих конструкциях защищаемого помещения, а также в акустические колебания воздуха.
Достоинства
Полностью цифровое управление.
Интеллектуальное меню, гибкая система конфигурирования.
Возможность формирования помехового сигнала от различных внутренних и внешних источников и их комбинаций. Внутренние источники - генератор шума, фонемный клонер, предназначенный для синтеза речеподобных, оптимизированных для защиты речевой информации конкретных лиц помех путем клонирования основных фонемных составляющих их речи. За счет их микширования по каждому каналу значительно уменьшается вероятность очистки зашумленного сигнала.
Кроме того, наличие линейного входа позволяет подключать к комплексу источники специального помехового сигнала повышенной эффективности.
Каждый канал прибора имеет собственный независимый генератор шума аналогового типа и фонемный клонер, что позволяет исключить возможность компенсации помехового сигнала средствами перехвата речевой информации за счет специальной обработки, в том числе и корреляционными методами при многоканальном съеме несколькими датчиками.
Одним прибором можно защитить помещения большой площади различного назначения (конференц-залы и т.п.).
Возможность регулировки спектра помехового сигнала для повышения эффективности наведенного помехового сигнала с учетом особенностей используемых виброи акустических излучателей и защищаемых поверхностей (5-ти полосный цифровой эквалайзер).
Наличие четырех независимых выходных каналов с раздельными регулировками для оптимальной настройки помехового сигнала для различных защищаемых поверхностей и каналов утечки. Достижение максимальной эффективности подавления при минимальном паразитном акустическом шуме в защищаемом помещении за счет вышеперечисленных возможностей настройки комплекса.
Встроенные средства контроля эффективности создаваемых помех: контрольный динамик для экспертной оценки качества создаваемой помехи и низкочастотный четырехканальный пятиполосный анализатор спектра, работающий с выходными сигналами всех 4 каналов, обладающий широким динамическим диапазоном, что позволяет эффективно непрерывно проводить контроль помех любого уровня, создаваемых в каждом из каналов во всем частотном диапазоне работы прибора.
Возможность подключения к каждому выходному каналу различных типов виброакустических излучателей и их комбинаций за счет наличия низкоомного и высокоомного выходов. Это также позволяет использовать комплекс для замены морально устаревших или вышедших из строя источников помехового сигнала в уже развернутых системах виброакустической защиты без демонтажа и замены установленных виброакустических излучателей.
Наличие системы беспроводного дистанционного включения комплекса.
Технические характеристики
- Число помеховых каналов: 4.
- Выходная мощность: не менее 18 Вт на канал.
- Диапазон частот: 60...16000 Гц.
- Число вибраторов, подключаемых к одному каналу:
1) пьезоэлектрических - до 30;
2) электромагнитных - до 7.
- Количество поддиапазонов с регулируемым уровнем мощности помехи в канале:
- 5.
- Частотные поддиапазоны: 60...350 Гц; 350...700 Гц; 700-1400 Гц; 1400-2800 Гц; 2800...16000 Гц.
- Виды помех:
1) “белый” шум;
2) речеподобная (формируемая фонемным клонером виброгенератора, путем клонирования основных фонемных составляющих речи защищаемых лиц);
3) специальная (смесь речеподобной и шумовой).
- Количество независимых фонемных клонеров: 4.
- Количество независимых генераторов шума: 4.
- Диапазон регулировки уровня сигнала в каждой октавной полосе: не менее 24 дБ.
- Управление включением помехи: дистанционное проводное, дистанционное по радиоканалу, местное.
- Питание: сеть 220 В, 50 Гц.
- Габариты: 310 х 300 х 80 мм.
- Вес: 5,5 кг.
Телефонный модуль для комплексной защиты телефонной линии от прослушивания ПРОКРУСТ-2000
Назначение
Для защиты городской телефонной линии до АТС методом постановки активной помехи, подавляющей действие практически любых существующих на сегодняшний день телефонных закладок во время разговора. В приборе реализовано запатентованное решение, позволяющее гарантированно предотвращать съем и передачу информации по телефонной линии в промежутках между телефонными переговорами. Прибор позволяет осуществлять обнаружение подключенных телефонных закладок и контролировать постоянную составляющую напряжения в телефонной линии.
Защитный модуль прост в эксплуатации, практически не требует настройки пользователем; включение защиты при переговорах осуществляется нажатием одной кнопки на приборе или пульте ДУ. При необходимости можно отрегулировать уровень помехи и напряжения на линии, контроль напряжения на линии осуществляется с помощью встроенного вольтметра. Модуль обеспечивает световую индикацию режимов работы и состояния телефонной линии, а также световую индикацию пиратского использования линии в промежутках между переговорами. Документирование телефонных переговоров обеспечивается подключением звукозаписывающего устройства.
Особенности
Телефонная линия во время разговора защищается на всем протяжении линии от модуля до АТС, а для гарантированной защиты линии в промежутках между переговорами организован участок телефонной линии повышенной защищенности, который располагается между защитным модулем и выносным блокиратором.
Подавление нормальной работы телефонных закладок любых типов подключения во время переговоров осуществляется путем перегрузки входных цепей двумя активными помехами с разными физическими характеристиками.
Гарантируется блокирование работы комбинированных (телефон/акустика) радиопередатчиков в режиме "акустика" (линия в отбое), как питающихся от линии, так и с автономным питанием, подключенных на участке линии повышенной защищенности. Также гарантируется блокирование проникновения сигналов от аппаратуры ВЧ-навязывания на телефонный аппарат.
Встроенное стробирующее устройство управления напряжением и током на телефонной линии блокирует нормальную работу комбинированных радиопередатчиков в режиме "телефон".
Модулем обеспечивается ложное срабатывание звукозаписывающей аппаратуры системы VOX (VOR), подключенной на телефонную линию в любом месте, от модуля до АТС. Обеспечивается ложное срабатывание звукозаписывающей аппаратуры, снабженной датчиком на перепад напряжения, если она подключена на участке линии повышенной защищенности. При ложном срабатывании происходит непродуктивный расход пленки и батареи питания звукозаписывающей аппаратуры.
Улучшенная система детектирования нелинейных элементов, подключенных к телефонной линии.
Встроенный детектор гарантированно определяет и индицирует активный, параллельный телефон даже при отключенной защите.
Модуль позволяет блокировать попытки использования пиратских телефонов, подключенных на участке повышенной защищенности.
Встроена автоматика временного отключения защиты для предотвращения сбоев при наборе номера.
Защитный модуль легко интегрируется в конфигурацию сети офисной мини АТС. Для этой цели модуль оснащен системой дистанционного управления по телефонной линии, которая позволяет использовать число защитных модулей, равное числу входящих городских линий, и управлять защитой с любого телефона, подключенного к внутренней мини-АТС.
Технические характеристики
- • Максимальное поднятие постоянного напряжения на линии в режиме "Уровень": до 39 В.
- • Диапазон шумового сигнала в режиме "Помеха": 50 Гц...10 кГц.
- • Максимальная амплитуда помехи в режиме "Детектор": до 30 В.
- • Напряжение на диктофонном выходе: регулируемое, до 150 мВ.
- • Питание: сеть 220 В, 50 Гц.
- • Потребляемая мощность: не более 10 Вт.
- • Условия эксплуатации: отапливаемое помещение.
- • Габариты: 47 х 172 х 280 мм
Система защиты информации Secret Net 4.0
Назначение
Программно-аппаратный комплекс для обеспечения информационной безопасности в локальной вычислительной сети, рабочие станции и сервера которой работают под управлением следующих операционных систем:
- Windows'9x (Windows 95, Windows 98 и их модификаций);
- Windows NT версии 4.0;
- UNIX MP-RAS версии 3.02.00.
Безопасность рабочих станций и серверов сети обеспечивается с помощью всевозможных механизмов защиты:
- усиленная идентификация и аутентификация;
- полномочное и избирательное разграничение доступа;
- замкнутая программная среда;
- криптографическая защита данных;
- другие механизмы защиты.
Администратору безопасности предоставляется единое средство управления всеми защитными механизмами, позволяющее централизованно управлять и контролировать исполнение требований политики безопасности.
Вся информация о событиях в информационной системе, имеющих отношение к безопасности, регистрируется в едином журнале регистрации. О попытках совершения пользователями неправомерных действий администратор безопасности узнает немедленно.
Существуют средства генерации отчетов, предварительной обработки журналов регистрации, оперативного управления удаленными рабочими станциями.
Компоненты Secret Net
Система Secret Net состоит из трех компонентов:
- Клиентская часть.
- Сервер безопасности.
- Подсистема управления.
Особенностью системы Secret Net является клиент-серверная архитектура, при которой серверная часть обеспечивает централизованное хранение и обработку данных системы защиты, а клиентская часть обеспечивает защиту ресурсов рабочей станции или сервера и хранение управляющей информации в собственной базе данных.
Клиентская часть системы защиты
Клиент Secret Net (как автономный вариант, так и сетевой) устанавливается на компьютер, содержащий важную информацию, будь то рабочая станция в сети или какой-либо сервер (в том числе, и сервер безопасности).
Основное назначение клиента Secret Net:
- Защита ресурсов компьютера от несанкционированного доступа и разграничение прав зарегистрированных пользователей.
- Регистрация событий, происходящих на рабочей станции или сервере сети, и передача информации на сервер безопасности.
- Выполнение централизованных и децентрализованных управляющих воздействий администратора безопасности.
Клиенты Secret Net оснащаются средствами аппаратной поддержки (для идентификации пользователей по электронным идентификаторам и управления загрузкой с внешних носителей).
Сервер безопасности
Сервер безопасности устанавливается на выделенный компьютер или контроллер домена и обеспечивает решение следующих задач:
- Ведение центральной базы данных (ЦБД) системы защиты, функционирующей под управлением СУБД Oracle 8.0 Personal Edition и содержащей информацию, необходимую для работы системы защиты.
- Сбор информации о происходящих событиях со всех клиентов Secret Net в единый журнал регистрации и передача обработанной информации подсистеме управления.
- Взаимодействие с подсистемой управления и передача управляющих команд администратора на клиентскую часть системы защиты.
Подсистема управления Secret Net
Подсистема управления Secret Net устанавливается на рабочем месте администратора безопасности и предоставляет ему следующие возможности:
- Централизованное управление защитными механизмами клиентов Secret Net.
- Контроль всех событий, имеющих отношение к безопасности информационной системы.
- Контроль действий сотрудников в ИС организации и оперативное реагирование на факты и попытки НСД.
- Планирование запуска процедур копирования ЦБД и архивирования журналов регистрации.
Схема управления, реализованная в Secret Net, позволяет управлять информационной безопасностью в терминах реальной предметной области и в полной мере обеспечить жесткое разделение полномочий администратора сети и администратора безопасности.
Автономный и сетевой вариант
Система защиты информации Secret Net выпускается в автономном и сетевом вариантах.
- Автономный вариант - состоит только из клиентской части Secret Net и предназначен для обеспечения защиты автономных компьютеров или рабочих станций и серверов сети, содержащих важную информацию.
- Сетевой вариант - состоит из клиентской части, подсистемы управления, сервера безопасности и позволяет реализовать защиту, как всех компьютеров сети, так и только тех рабочих станций и серверов, которые хранят и обрабатывают важную информацию. Причем в сетевом варианте, благодаря наличию сервера безопасности и подсистемы управления, будет обеспечено централизованное управление и контроль работы всех компьютеров, на которых установлены клиенты Secret Net.
Сферы применения Secret Net
Основными сферами применения системы Secret Net являются:
- Защита информационных ресурсов;
- Централизованное управление информационной безопасностью;
- Контроль состояния информационной безопасности.