Оценка прочности безопасности информации в комплексе средств автоматизации обработки информации с различными требованиями
С учетом моделей нарушителя для систем различного назначения и предъявляемых требований должны существовать различные критерии оценки достаточности мер обеспечения безопасности. Рассмотренный выше метод оценки касается наиболее ответственных систем, ориентированных на нарушителя-профессионала, расположенного вне объекта защиты, т. е. которому для выполнения несанкционированного доступа к информации необходимо преодолеть контролируемую границу территории объекта, систему контроля доступа в помещение объекта и т. д.
Нарушитель-пользователь уже имеет определенные полномочия по санкционированному доступу к информации в соответствии со своими функциональными обязанностями и задачами. Это означает, что ему известен код пароля для прохода через систему опознания и разграничения доступа к информации, подлежащей защите, в объеме, определенном таблицей полномочий, заданных ему администратором комплекса средств автоматизации обработки информации.
Ожидаемой целью пользователя-нарушителя может стать попытка выйти за пределы своих полномочий и получить доступ к информации других пользователей комплекса средств автоматизации обработки информации, например он может подобрать чужой код пароля, подсмотреть его украдкой или похитить носитель и т. д., а также выйти на секретную информацию методом массированных специально составленных запросов с целью использования возможных программных ошибок или сбоев аппаратуры. Это говорит о необходимости применения аппаратуры и программного обеспечения с высокой надежностью.
Пользователь может воспользоваться и другими возможностями: например, снять лишнюю копию информации, подменить носитель и т. д. Тем не менее успех в попытках нарушителя зависит от уровня прочности средств защиты перечисленных ранее возможных каналов несанкционированного доступа, который оценивается указанными выше методами для конкретной информационной системы. В число возможных нарушителей включаются также лица из технического и нетехнического обслуживающего персонала. Уровень эффективности средств защиты в подобного рода ситуациях в первую очередь определяется уровнем организации и выполнения требований по разграничению доступа. Для более строгой оценки можно проанализировать возможности несанкционированного доступа с позиций каждого лица, обслуживающего и работающего с комплексом средств автоматизации обработки информации, по приведенным выше методикам, что может оказать влияние на уточнение его полномочий и совершенствование организационных защитных мероприятий.
Оценка прочности защиты информации от квалифицированного нарушителя-непрофессионала предполагает исключение некоторых возможных каналов несанкционированного доступа из таблицы оценки: например, побочное электромагнитное излучение и наводки, а также остатки информации на магнитных носителях после стирания.
При оценке защиты системы от неквалифицированного нарушителя можно из числа возможных каналов несанкционированного доступа исключить ремонтируемую аппаратуру, средства загрузки программного обеспечения, мусорную корзину, а также упростить требования к средствам защиты информации и программного обеспечения на носителях, ограничиваясь учетом и регистрацией информации и носителей, резервированием информации.
Выводы и предложения
Таким образом, уровень требуемой безопасности комплекса средств автоматизации обработки информации может быть определен в первом приближении одним из четырех классов. Эти уровни подобно уже существующим методам определяются сначала выбранным числом возможных каналов несанкционированного доступа и соответствующим набором средств защиты. Однако простое наличие последних еще не гарантирует достаточный уровень защиты. Например, даже такая эффективная защита, как шифрование, может оказаться слабым средством, если применен не тот метод криптографического преобразования или выбран легко угадываемый код ключа или пароля.
Определение числовых значений прочности защиты покажет результаты, близкие к действительным. Достаточность уровня прочности защиты для конкретного комплекса средств автоматизации обработки информации будет определяться величиной, указанной в техническом задании.
Величина уровня прочности защиты, вводимая в техническое задание, может задаваться после накопления определенного опыта по анализу и оценке прочности по предлагаемому методу как отдельных средств защиты, так и комплекса средств автоматизации обработки информации в целом. Примерная формулировка требований по защите информации от преднамеренного несанкционированного доступа может быть такой: комплекс средств автоматизации изделия должен обеспечивать возможность защиты информации от преднамеренного несанкционированного доступа по I классу с прочностью защиты не ниже 0,98. Возможно окажется удобней понятие риска или вероятности успеха нарушителя, величина которой будет равна
Рнсд = (1 — Рсзи).В нашем примере Рнсд = 0,02.
Для оценки сложных комплексов средств автоматизации обработки информации необходимо учитывать перестраховку — принятую нами ранее наиболее "опасную" модель поведения нарушителя, а также относительно большой риск нарушителя (в 98 случаях из 100) быть пойманным. При этом следует отметить существенную разницу в величинах вероятности успеха нарушителей в двух случаях: когда должна работать система обнаружения и блокировки несанкционированного доступа (информация сохраняет свою цену постоянно) и не должна (информация со временем теряет свою цену). В первом случае нарушитель рискует, а во втором — нет.
Для полной оценки безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации, следуя предлагаемой концепции защиты, необходимо также иметь в виду оценку вероятности несанкционированного доступа от случайных воздействий, а также сочетание преднамеренных несанкционированных действий со случайными отказами, сбоями системы обработки информации. Общий подход к решению этого вопроса заключается в оценке вероятности появления из всего потока возможных случайных ошибок таких, которые на выбранном интервале времени работы комплекса средств автоматизации обработки информации приводят к модификации, утрате или утечке информации. В связи с тем, что эта задача требует отдельных исследований (в гл. 12 намечено лишь направление решения этой проблемы), целесообразно ограничиться пока только данными по оценке достоверности всего потока информации существующими методами. В эту оценку необходимо включать группу показателей, например, оценку вероятности следующих случайных событий:
вывода на посторонние устройства действительных значений кодов паролей;
вывода секретной информации при вводе неправильного пароля;
вывода информации на устройство, для нее не предназначенное;
формирования несанкционированных команд и сообщений.
Оценку защиты от сочетания преднамеренных и случайных воздействий можно проводить по наличию и качеству исполнения и функционирования программы учета, регистрации и блокировки передачи повторных команд и сообщений, вводимых Пользователем. В случае превышения количества допустимых повторов данная программа должна блокировать сообщения, формировать и передавать на терминал службы безопасности информации информацию о факте, месте и времени несанкционированного доступа. Данная программа одновременно выполняет и задачу защиты ресурсов информационного комплекса, которые при интенсивной преднамеренной загрузке могут быть заняты обработкой несанкционированных запросов или команд, что в свою очередь может привести к снижению производительности комплекса средств автоматизации обработки информации, вплоть до блокировки его функционирования.
Особого внимания заслуживает защита информации и средств ее обработки от программных вирусов. С одной стороны, это специально разработанные человеком программы-вредители, которые можно отнести к разряду преднамеренного несанкционированного доступа, а с другой — факт попадания этих программ в комплекс средств автоматизации обработки информации может быть событием случайного характера. Ввиду особой специфики вопроса защиты от программных вирусов, связанных с появлением и большим распространением персональных компьютеров, он рассмотрен отдельно ниже.
В итоге оценка защищенности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации может складываться из группы показателей, учитывающих физическую природу, условия воздействия и системный подход к безопасности информации и определяющих ее уровень. Такими показателями могут служить уровни безопасности:
от преднамеренного несанкционированного доступа;
от случайных воздействий;
от сочетания случайных и преднамеренных несанкционированных воздействий;
от программных вирусов.
Уровень безопасности информации от преднамеренного несанкционированного доступа в комплексе средств автоматизации обработки информацииопределяется двумя показателями:
прочностью защиты информации на контролируемых каналах несанкционированного доступа к информации данного комплекса средств автоматизации обработки информации;
прочностью защиты информации на неконтролируемых каналах несанкционированного доступа к информации данного комплекса средств автоматизации обработки информации.
Данное количество показателей определено различными условиями пребывания информации и риском нарушителя. Они будут резко отличаться между собой уровнем достаточности.
Уровень безопасности информации от случайных воздействий можно определить пока группой следующих показателей:
временем обнаружения и локализации отказов аппаратуры с точностью до съемного элемента;
полнотой контроля функционирования комплекса средств автоматизации обработки информации;
достоверностью контроля функционирования комплекса средств автоматизации обработки информации.
Приведенные методики оценки средств защиты, особенно в отношении оценки путей обхода, не претендуют на полноту. Их задача — представить методологию подхода и подготовить базу для разработки нормативных документов, позволяющих по единым методикам получать гарантированные качественные и количественные показатели уровня безопасности информации в создаваемых информационной системе.
Глава 4. Метод оценки уровня безопасности информации в информационных сетях и в автоматизированных системах управления
Согласно принципиальному подходу к оценке защиты, приведенному в гл. 2, и концепции защиты, описанной в гл. 1, разд.3, рассмотрим возможные каналы несанкционированного доступа в информационной сети и автоматизированной системе управления, характерные для нарушителя-профессионала, и соответствующие им средства защиты, приведенные в главах выше. Возьмем перечень возможных каналов несанкционированного доступа, представленный в описании концепции защиты в информационных сетях и автоматизированной системе управления, и разместим его с соответствующими средствами защиты (табл.1). При этом полагаем целесообразным для информационной сети и автоматизированной системе управления оценку уровня защищенности информации в будущем проводить только для двух классов нарушителей: первого и второго. Количество возможных каналов несанкционированного доступа на уровне сети и автоматизированной системы управления для обоих классов одинаковое, а уровень безопасности информации будет определяться количественными показателями уровней прочности средств защиты, примененных в конкретной системе на элементах сети (автоматизированной системе управления), и выполнением требований по обеспечению безопасности информации в каналах связи, приведенных в разд. 3.
По-прежнему считаем предметом защиты информацию, циркулирующую в сети (или автоматизированной системе управления), как нечто целое, т. е. фактом несанкционированного доступа считаем попытку несанкционированного доступа хотя бы на одном из ее элементов, канале связи или на тракте передачи информации.
Значения уровней безопасности или прочности защиты элементов сети (или автоматизированной системы управления) берем готовыми, рассчитанными для каждого элемента по методике оценки прочности защиты информации в комплексе средств автоматизации обработки информации, рассмотренной в разд. 3. Независимо от того, входили или не входили в комплекс средств автоматизации обработки информации элемента сети (или автоматизированной системы управления) средства управления, перечисленные в табл. 1, необходимо дать оценку прочности их средств защиты от несанкционированного доступа в рамках информационной сети (или автоматизированной системы управления).
Так как предполагается идентификаторы объектов передавать в открытом виде и защищать их кодом цифровой подписи, оценка прочности системы контроля и разграничения доступа к информации сети (или автоматизированной системы управления) производится по формуле 15, гл. 1, разд. 3 на основе методики оценки стойкости к компрометации шифрования информации с открытым ключом. По ней оценивается время, затрачиваемое потенциальным нарушителем на преодоление этой защиты.
Оценка средств защиты в каналах связи и в трактах передачи данных может определяться по формуле 15, гл. 1, разд. 3 с учетом криптографического преобразования (шифрования) информации, примененного в данной информационной сети (или автоматизированной системе управления), где при оценке Робхрассматриваем способы хранения и передачи ключей дешифрования, а также выбранный метод шифрования и уровень развития криптоанализа на момент оценки. При этом необходимо проанализировать выполнение требований по безопасности информации, приведенных в разд. 3, на соответствие заданному классу потенциального нарушителя.
Таблица 1. Возможные каналы несанкционированного доступа к информации сети (или автоматизированной системы управления) и распределение средств защиты
| № п/п | Наименование возможного канала несанкционированного доступа | Средства защиты | Уровень безопасности | |
| ВКНСД КСА - элемента сети (АСУ) | Система безопасности информации КСА – ЭС (АСУ) | GЭС1 (GЭАСУ) | ||
| Средства управления конфигурацией сети (АСУ) | Система опознания и разграничения доступа к информации СПД (АСУ) | P1 | ||
| Средства управления структурно-адресными таблицами сети (АСУ) | То же | P1 | ||
| Средства управления полномочиями элементов сети (АСУ) | » | P1 | ||
| Средства управления полномочиями пользователей сети (АСУ) | » | P1 | ||
| Средства управления функциональным контролем сети (АСУ) | » | P1 | ||
| Каналы связи | Система защиты информации в каналах связи | PКС | ||
| Тракты передачи данных | Системы защиты информации в трактах передачи данных | PТД | ||
| Средства управления безопасностью информации в сети (АСУ) | Система безопасности информации управляющего КСА – ЭС (АСУ) | PЭС2 (PЭАСУ) |
Примечание. Gэс (Gэасу) включает группу показателей КСА - элемента сети (АСУ).
После того как проведена оценка отдельных средств защиты по каждому возможному каналу несанкционированного доступа, возможна интегральная количественная и качественная оценка уровня безопасности информации в информационной сети (или автоматизированной системе управления) в целом.
Сведение всех параметров защиты в данном случае к одному показателю, так же как и в комплексе средств автоматизации обработки информации, по-видимому, не представляется возможным, так как и здесь результат решения задачи зависит каждый раз от первоначальных условий: модели поведения нарушителя и условий его "работы". Как было упомянуто выше, мы рассматриваем квалификацию нарушителей двух классов: I — профессионала и II — непрофессионала. Класс нарушителя должен задаваться в техническом задании на систему. Результаты оценки уровня безопасности информации при этом для разных систем могут даже приближаться друг к другу в количественном выражении. Но фактически результат оценки, полученный для нарушителя I класса, разумеется, должен считаться выше результата, полученного для нарушителя II класса.
Условия же "работы" нарушителя, связанные с наличием и отсутствием его риска, принципиально влияют на конечный результат оценки, присутствуют в любой системе и должны быть рассмотрены каждый в отдельности. Поэтому предлагается для оценки уровня безопасности информации в информационных сетях применять группу следующих показателей (см. табл. 1). В показатель оценки уровня безопасности информации в сети включается группа показателей защиты информации элемента сети с наименьшими значениями (наиболее слабого звена защиты информации в сети). Отдельными показателями целесообразно представить группу показателей комплекса средств автоматизации обработки информации-элемента сети, в состав которого входят средства управления безопасностью информации в сети (или автоматизированной системы управления) как наиболее важного элемента защиты. При этом класс нарушителя в элементе сети и на сетевом уровне должен быть задан на одном уровне. Если по каким-либо причинам класс защиты одного из элементов сети оказался ниже требований сетевого уровня, показатели этого уровня безопасности должны быть рассчитаны заново в соответствии с сетевыми требованиями. Если в результате нового расчета уровень безопасности информации элемента сети все же не удовлетворяет требованиям к информационной сети, прочность его защиты увеличивается.
Уровень безопасности информации на элементах автоматизированной системы управления может быть ниже уровня безопасности ее в сети, если это оправдано экономически и отвечает заданным требованиям к безопасности информации, обрабатываемой в системе.
Все вышеизложенное касалось защиты информации и средств ее обработки от преднамеренного несанкционированного доступа в информационной сети и/или автоматизированной системы управления, построенной на их базе. Особенностью оценки уровня безопасности информации в системе при этом является расчет отдельных показателей для информационной сети как средства передачи информации и данных, и для средств обработки информации в автоматизированной системе управления на абонентском уровне, так как информация абонентов и/или информационной сети должна быть недоступна для технического персонала сети и системные отношения на абонентском уровне отличаются от системных отношений в сети передачи информации и данных. Оценку уровня безопасности информации в информационной системе и/или в автоматизированной системе управления в целом целесообразно производить по следующим показателям:
GАСУ - группа показателей автоматизированной системы управления, приведенная в табл. 1, за исключением Ркс;
GСПИ – группа показателей системы передачи информации, приведенная в табл. 1, за исключением РТД.
При этом в группу показателей GЭАСУ включается группа показателей автоматизированной системы управления с наименьшими значениями после сравнения между собой групп показателей каждого из элементов АСУ. Под элементом АСУ понимается комплекс средств автоматизации обработки информации, входящее в ее состав. Но скорей всего в региональных и глобальных АСУ требования к уровню безопасности информации верхнего объекта управления будут выше тех же требований к нижестоящим объектам. Тогда потребуется указать значения показателей безопасности для каждого комплекса средств автоматизации обработки информации автоматизированной системы управления или группы КСА с одинаковыми требованиями.
Для полноты картины необходимо провести анализ и оценку уровня безопасности информации в информационной сети при ее защите от случайных воздействий, а также от их сочетания с преднамеренными воздействиями. Для этого целесообразно воспользоваться известными методами повышения достоверности информации и дать оценку вероятности трансформации сообщения, передаваемого от одного пользователя информационной сети к другому на всех возможных трактах передачи данных. Конечным результатом оценки уровня безопасности информации должно стать наибольшее ее значение. Для проведения оценки защиты от сочетания преднамеренных и случайных воздействий необходимо проверить в системе опознания и разграничения доступа наличие механизма обнаружения, учета и регистрации многократных повторных неправильных обращений к ней со стороны пользователей информационной сети. Качественная сторона этого механизма оценивается экспертным методом на основе опыта специалистов.
В конечном итоге для оценки уровня безопасности информации в информационной сети можно предложить следующую группу показателей:
GЭС — группа показателей уровня безопасности информации элемента сети (комплекса средств автоматизации обработки информации) с наименьшими значениями;
GЭСУ - группа показателей уровня безопасности информации элемента сети (комплекса средств автоматизации обработки информации), включающего средства управления безопасностью информации в сети;
P1 — вероятность непреодоления нарушителем системы ввода и контроля полномочий в сети;
РКС— вероятность непреодоления нарушителем системы защиты информации в каналах связи сети;
РТДС — вероятность непреодоления нарушителем системы защиты информации в трактах передачи данных, если таковая предусмотрена в сети;
РТР — вероятность трансформации информации от случайных воздействий при ее передаче от пользователя к пользователю;
РОБЛ — вероятность обнаружения и блокировки многократных повторных незаконных обращений пользователей к сети.
С расширением и развитием информационных вычислительных сетей часто возникает необходимость в соединении двух различных сетей с разным уровнем безопасности информации. В этом случае должны быть всесторонне решены вопросы их совместимости. Здесь необходимо рассмотреть конкретные схемы подключения, определить важность и характер обрабатываемой в данных сетях информации.
Если к основной сети подключается сеть с меньшим уровнем безопасности, она выступает в роли абонента, которому разрешен доступ к части информации, и эта информация отвечает ее уровню безопасности, то, по-видимому, никаких изменений не потребуется. Если же уровень безопасности подключаемой сети не отвечает уровню безопасности информации, получаемой из основной сети, то необходимо или поднять уровень безопасности подключаемой сети, или установить в основной сети механизм ограничения выдаваемой информации в эту сеть и определить полномочия абонентов подключаемой сети на доступ к информации основной сети. При назначении их полномочий определяются с позиций безопасности возможность передачи и объемы получаемой информации по подключаемой сети. Эти задачи решаются системой опознания и разграничения доступа к информации сети (или автоматизированной системой управления).
Раздел VII. Обеспечение безопасности информации в персональных компьютерах и локальных сетях
Глава 1. Безопасность информации в персональных компьютерах