Примеры способов защиты информации.

1. Самоуничтожающиеся DVD-диски. Компания Walt Disney объявила о выходе на рынок в августе 2003 года пробной партии самоуничтожающихся DVD-дисков. Такие диски можно будет использовать только в течение 48 часов после вскрытия упаковки. Затем поверхность диска должна почернеть, что сделает невозможным прохождение лазерного луча DVD-проигрывателя.

2. С непреднамеренными нарушениями целостности, возникающими из-за ошибок при передаче данных по каналам связи или сбоев при чтении носителей информации, можно бороться путем добавления избыточности к защищаемой информации, что позволит обнаружить и иногда даже исправить случайно возникающие ошибки. Для этого существует целая теория помехоустойчивого кодирования.

3. При идентификации и аутентификации необходимо обеспечить невозможность успешного их повторения путем перехвата сетевого трафика и повторной отсылки правильных ответов. Для этого используется схема запрос/ответ (challenge/response), когда проверяющая сторона присылает некоторый случайный запрос (challenge), который используется при аутентификации для преобразования введенных пользователем данных перед отправкой их проверяющей стороне. При таком подходе перехват сетевого трафика оказывается бесполезным – проверяющая сторона каждый раз присылает новый запрос, на который существует единственный правильный ответ, который невозможно быстро вычислить, не зная секретной информации (пароля или PIN-кода).

4. При аутентификации необходимо обеспечить невозможность эффективного получения секретной информации, вводимой пользователем, в случае взлома проверяющей стороны. Для этого проверяющая сторона должна хранить не копию секретной информации, вводимой пользователем, а результат применения к ней стойкой криптографической хэш-функции.

5. Биометрические системы идентификации. В качестве достоинств таких систем называют, прежде всего, то, что только биометрика аутентифицирует именно человека, а не пароль или устройство вроде смарт-карты.

6. Мандатное разграничение доступа заключается в том, что компьютерные ресурсы разделяются на группы в соответствии с уровнями их конфиденциальности. Каждому ресурсу присваивается классификационная метка, задающая назначенный ему уровень. Полномочия пользователя задаются максимальным уровнем конфиденциальности информации, доступ к которой ему разрешен. В соответствии с этим разрешается доступ только к данным, уровень секретности которых не выше уровня полномочий пользователя.

7. Дискреционное управление доступом – это метод ограничения доступа к компьютерным ресурсам, основанный на учете прав пользователя или группы, в которую этот пользователь входит. Использование данной модели позволяет для каждого пользователя или для каждой группы пользователей явно задать полномочия, указав список ресурсов (логические диски, элементы файловой структуры, порты ввода-вывода и т.д.), к которым разрешен доступ, а также права доступа к этим ресурсам. Один из видов полномочий дает пользователю возможность передать права доступа любому другому пользователю или группе.

8. Задачи сертификации в настоящее время встречаются повсеместно, и для решения этих задач используется криптография с открытым ключом. При выдаче сертификата удостоверяющая сторона гарантирует, что содержимое сертификата является подлинным и может быть использовано при выполнении условия правильности сертификата. Чаще всего сертификаты выдаются на открытые ключи и исполняемые файлы.

9. Подпись, как и сертификация, реализуется средствами криптографии с открытым ключом. Обычно подписанию подвергаются документы, но подписывать можно что угодно, в том числе и исполняемые файлы. Отличие от сертификации здесь в том, что при подписи подтверждение подлинности берет на себя сам автор, а при сертификации гарантии и ответственность ложатся на плечи более высокой инстанции.

10. Решение таких задач, как неотказуемость, расписка в получении, свидетельствование и датирование, тесно связано с решением задач сертификации и подписи и тоже обеспечивается методами асимметричной криптографии.

11. Аннулирование заключается в обновлении списков отозванных сертификатов (Certificate Revocation List, CRL) и списков отмены удостоверяющих центров (Authority Revocation List, ARL). Самым сложным здесь является необходимость обеспечить регулярную и своевременную доставку списков отмены до того, как скомпрометированный ключ будет применен со злым умыслом.

12. Для обеспечения анонимности разработаны специальные криптографические протоколы. Они позволяют выполнять такие операции, как тайное компьютеризированное голосование и анонимные не отслеживаемые деньги для оплаты товаров и услуг через Интернет.

Стандарты в области защиты информации. В РФ сейчас насчитывается более 22 тысяч действующих стандартов. Ряд стандартов разработан и в области ЗИ. Однако работа над объектами стандартизации в сфере ЗИ только разворачивается, причем не только в РФ, но и в мире. Такие государственные стандарты, как ГОСТ 28147-89, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94, ГОСТ Р 50739-95, относятся к различным группам по классификатору стандартов, но не являются функционально полными ни по одному из направлений ЗИ. Есть семейства родственных стандартов: 12 государственных стандартов на системы тревожной сигнализации, комплектуемые извещателями различного принципа действия; около 200 государственных стандартов на ИТ (сертификация систем телекоммуникации, программных и аппаратных средств, аттестационное тестирование взаимосвязи открытых систем, аттестация баз данных и т.д.; больше 100 государственных стандартов на системы качества (в том числе стандарты серии 9000, введенные в действие на территории РФ).

Значительная часть стандартов на методы контроля и испытаний (около 60 %) может быть признана не соответствующей требованию Закона РФ «Об обеспечении единства измерений», как правило, в части погрешностей измерений. Отсутствуют стандарты в сфере информационно-психологической безопасности.

Комплексность ЗИ достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами: ГОСТ 28147–89 «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования»; ГОСТ Р 34. 10–2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»; ГОСТ Р 34. 11–94 «Информационная технология. Криптографическая защита информации. Функция хеширования»; ГОСТ Р 50739–95 " Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования".

В 1990 году под эгидой Международной организации по стандартизации (ИСО) были развернуты работы по созданию стандарта в области оценки безопасности ИТ. Преследовались следующие основные цели: унификация национальных стандартов в области оценки безопасности ИТ; повышение уровня доверия к оценке безопасности ИТ; сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов. В июне 1993г. организации по стандартизации и обеспечению безопасности США, Канады, Великобритании, Франции, Германии и Нидерландов объединили свои усилия в рамках проекта по созданию единой совокупности критериев оценки безопасности ИТ. Этот проект получил название " Общие критерии" (ОК). ОК были призваны обеспечить взаимное признание результатов стандартизованной оценки безопасности на мировом рынке ИТ. Разработка версии 1.0 ОК была завершена в январе 1996 года и одобрена ИСО в апреле 1996 года. Был проведен ряд экспериментальных оценок на основе версии 1.0 ОК, а также организовано широкое обсуждение документа. В мае 1998 года была опубликована версия 2.0 ОК, и на ее основе в июне 1999 года принят международный стандарт ИСО/МЭК 15408. Официальный текст стандарта издан 1 декабря 1999 года [27-29]. Изменения, внесенные в стандарт на завершающей стадии его принятия, учтены в версии 2.1 ОК, идентичной стандарту по содержанию. Уже после принятия стандарта с учетом опыта его использования появился ряд интерпретаций ОК, которые после рассмотрения специальным Комитетом по интерпретациям (CCIMB) принимаются, официально публикуются и вступают в силу как действующие изменения и дополнения к ОК. Параллельно с учетом интерпретаций ведется разработка версии 3.0 ОК. Параллельное существование стандарта ISO (для которых существует пятилетний цикл обновления) и ОК с действующими интерпретациями дает возможность гибко и оперативно реагировать на необходимые уточнения и полезные для практики изменения ОК, которые впоследствии включаются в новую версию ОК и новую редакцию соответствующего стандарта.

В России Центром безопасности информации (ЦБИ), Центром " Атомзащитаинформ", ЦНИИАТОМИНФОРМ, ВНИИстандарт при участии экспертов Международной рабочей группы по ОК был подготовлен проект группы стандартов ГОСТ Р ИСО/МЭК 15408, содержащий полный аутентичный текст международного стандарта. Стандарт [8-10] принят постановлением Госстандарта России от 04.04.2002 года № 133-ст с датой введения в действие 1 января 2004 года. Для практической апробации ОК и нормативно-методических документов, разработанных в их поддержку [5, 6], до ввода в действие группы стандартов ГОСТ Р ИСО/МЭК 15408 принят и введен в действие с 19.06.2002 года руководящий документ Гостехкомиссии России [7], полностью соответствующий указанному государственному стандарту. Международный стандарт ISO/IEC 15408, а также российские стандарты ГОСТ Р ИСО/МЭК 15408-1-2002 – ГОСТ Р ИСО/МЭК 15408-1-2002 в применении к оценке безопасности изделий ИТ являются по сути метасредствами, задающими систему понятий, в терминах которых должна производиться оценка, и содержащими относительно полный каталог требований безопасности (функциональных и доверия), но не предоставляющих конкретных наборов требований и критериев для тех или иных типов продуктов и систем ИТ, выполнение которых необходимо проверять. Эти требования и критерии фигурируют в профилях защиты (ПЗ) и заданиях по безопасности (ЗБ). Предполагается, что профили защиты, в отличие от заданий по безопасности, носят относительно универсальный характер: они характеризуют определенный класс изделий ИТ вне зависимости от специфики условий применения. Именно официально принятые профили защиты образуют построенную на основе ОК и используемую на практике нормативную базу в области ЗИ. В настоящее время такая база и в мире (см., например, [21]), и в России только создается. В России эту работу курирует Государственная техническая комиссия при Президенте РФ (Гостехкомиссия России).

Раздел 3: Защита информации в информационных системах (ИС)

Предмет и объекты защиты информации в ИС. Одним из наиболее существенных вызовов в деле автоматизации информационных процессов является компьютерная безопасность. Среди основных требований к проведению информационных операций – конфиденциальность, целостность, аутентификация, авторизация, гарантии и сохранение тайны. Если первые четыре требования можно обеспечить программно-техническими средствами, то выполнение двух последних зависит и от программно-технических средств, и от ответственности отдельных лиц и организаций, а также от соблюдения законов, защищающих пользователя от возможного мошенничества злоумышленников. Проблема ЗИ в ИС весьма актуальна, особенно, учитывая широкое использование открытой сети Internet. Под ЗИ в ЭИС понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности информации, хранимой и обрабатываемой с использованием средств ИС.

Надежность информации. Надежность информации в ИС является интегральным показателем, характеризующим физическую целостность (отсутствие искажений или уничтожения элементов) информации; доверие к информации при сохранении целостности; безопасность информации (отсутствие несанкционированного получения ее лицами или процессами, не имеющими полномочий); уверенность в том, что переданные (проданные) владельцем программы или данные не будут размножаться (копироваться, тиражироваться) и использоваться без его санкции. Активно развивается концепция интегральной ИБ как комплексная совокупность непрерывно действующих мер по ЗИ в ходе подготовки, обработки, хранения и передачи информации.

Уязвимость информации. Уязвимость информации необходимо оценивать в процессах разработки, внедрения, функционирования ЭИС на технологических участках автоматизированной обработки информации и независимо от процессов обработки информации. Уязвимость информации в процессе разработки и внедрения ИС обуславливается уязвимостью компонентов системы и баз данных. Особое значение имеет минимизация уязвимости ПО. Условия автоматизированной обработки информации характеризуются главным образом структурой ИС, наличием и количеством потенциально возможных дестабилизирующих факторов, количеством и категориями потенциальных нарушителей. Уязвимость информации независимо от процесса ее обработки обуславливается тем, что в современных ИС информация может быть объектом случайных или злоумышленных воздействий даже в том случае, если автоматизированная обработка ее не осуществляется. В качестве количественной меры уязвимости информации можно принять вероятность нарушения ее защищаемых характеристик при существующих в ИС условиях ее сбора, обработки и хранения, а также математическое ожидание возможного ущерба.

Элементы и объекты защиты в ИС. Под объектом защиты будем понимать типовой структурный компонент (ТСК) ИС, в котором находится или может находиться подлежащая защите информация. ТСК должен принадлежать к одному и тому же организационному компоненту ИС, участвовать в осуществлении одних и тех же функций обработки информации в ИС, быть локализованным с точки зрения территориального расположения ИС. Элемент защиты есть совокупность данных, которая может содержать подлежащие защите сведения. Элементы защиты выделяются по нахождению в одном и том же объекте защиты, локализуемости по носителю информации, однородности по дестабилизирующим факторам. Принципы формирования перечней объектов и элементов ЗИ включают унифицированность, охват всех потенциально возможных структур ИС, минимизацию состава. Основным методом формирования перечней объектов и элементов защиты является структурно-логический анализ потенциально возможных архитектур ИС и технологических схем обработки информации.

Дестабилизирующие факторы ИС. Дестабилизирующими факторами являются:

· количественная недостаточность – физическая нехватка одного или нескольких компонентов ИС для обеспечения требуемой защищенности информации;

· качественная недостаточность –несовершенство конструкции или организации одного или нескольких компонентов ИС для обеспечения требуемой защищенности информации;

· отказ –нарушение работоспособности какого-либо элемента ИС, приводящее к невозможности выполнения им своих функций;

· сбои –временное нарушение работоспособности какого-либо элемента ИС, следствием чего может быть неправильное выполнение им в этот момент своих функций;

· ошибка – неправильное (одноразовое или систематическое) выполнение элементом ИС одной или нескольких функций, из-за специфического (постоянного или временного) состояния;

· стихийное бедствие –спонтанно возникающее неконтролируемое явление, проявляющееся как могущественная разрушительная сила;

· злоумышленное действие –действия людей, специально направленные на нарушение защищенности информации;

· побочное явление –явление, сопутствующее выполнению элементом ИС своих основных функций, следствием которого может быть нарушение защищенности информации.

Источниками дестабилизирующих факторов могут быть: люди, технические устройства, модели, алгоритмы, программы, технология функционирования, внешняя среда.

Причины нарушения целостности информации (ПНЦИ). Под ПНЦИ понимаются такие дестабилизирующие факторы, следствием проявления которых может быть нарушение физической целостности информации, т.е. ее искажение или уничтожение.

Ниже перечислены группы причин нарушения целостности информации.

1. Нарушение функционирования элементов ИС (отказы/сбои/ошибки): основной аппаратуры, программ, людей, носителей информации, систем питания, систем обеспечения нормальных условий работы аппаратуры и персонала, систем передачи данных, вспомогательных материалов.

2. Стихийные бедствия: пожар, наводнение, землетрясение, ураган, взрыв, авария.

3. Злоумышленные действия: запоминание информации, копирование, хищение, подмена, подключение, поломка (повреждение), диверсия.

Другие факторы: электромагнитные излучения устройств ИС, паразитные наводки, внешние электромагнитные излучения, вибрация, внешние атмосферные условия.

Каналы несанкционированного получения информации в ИС (КНПИ). Под КНПИ понимаются такие дестабилизирующие факторы, следствием проявления которых может быть получение (или опасность получения) защищаемой информации лицами или процессами, не имеющими на это законных полномочий. Перечень их основных типов следующий.

1. Каналы, проявляющиеся безотносительно к обработке информации и без доступа злоумышленника к элементам ЭВТ: хищение носителей информации на заводах, где производится ремонт ЭВТ; подслушивание и провоцирование на разговоры лиц, имеющих отношение к ИС; использование злоумышленником визуальных, оптических, акустических средств.

2. Каналы, проявляющиеся в процессе обработки информации без доступа злоумышленника к элементам ИС: электромагнитные излучения устройств отображения информации, процессоров, внешних запоминающих устройств, аппаратуры и линий связи, вспомогательной аппаратуры; паразитные наводки в коммуникациях водоснабжения, системах канализации и вентиляции, сетях теплоснабжения и питания по цепи 50 Гц, шинах заземления, цепях радиофикации, телефонизации и диспетчерской связи; подключение генераторов помех и регистрирующей аппаратуры; осмотр отходов производства, попадающих за пределы контролируемой зоны.

3. Каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам ИС, но без их изменения: копирование бланков с исходными данными, магнитных носителей, с устройств отображения, выходных и других документов; хищение производственных отходов.

4. Каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам ИС, но без их изменения: запоминание служебных данных, информации на бланках с исходными данными, с устройств наглядного отображения и на выходных документах; копирование (фотографирование) информации в процессе обработки и распечатков массивов; изготовление дубликатов массивов и выходных документов; использование программных ловушек; маскировка под зарегистрированного пользователя; использование недостатков систем программирования и ОС; использование пораженности ПО «вирусом».

5. Каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам ЭВТ с их изменением: подмена/хищение бланков, магнитных носителей, выходных и других документов, аппаратуры; подмена элементов программ и баз данных; включение в программы блоков типа «троянский конь», «бомба» и т.п.; чтение остаточной информации в ЗУ после выполнения санкционированных запросов.

6. Каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к объектам ЭВТ с их изменением: незаконное подключение к аппаратуре и линиям связи; снятие информации на шинах питания устройств отображе­ния, процессоров, аппаратуры и линий связи, печатающих и внешних запоминающих устройств, вспомогательной аппаратуры.

Под угрозой информации в ИС понимают меру возможности возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию: нарушение (или опасность нарушения) физической целостности, несанкционированная модификация (или угроза такой модификации) информации, несанкционированное получение (или угроза такого получения) информации, несанкционированное размножение информации. Оценка угроз заключается в оценке показателей необходимых для решения всех задач, связанных с построением и эксплуатацией механизмов ЗИ.

Преднамеренные угрозы безопасности ИС. Реализацию угрозы будем называть атакой. Классификацию угроз безопасности будем производить по следующим признакам: цель реализации угрозы; характер воздействия на ИС; причина появления используемой ошибки защиты; способ активного воздействия на объект атаки; способ воздействия на ИС; объект атаки; используемые средства атаки; состояние объекта атаки.