NSD: TEORÍA Y PRÁCTICA.
MASYUK Mikhail Igorevich
Terminología
Al establecer la tarea de seguridad de la información, es necesario tener en cuenta en cuenta la implementación de una amplia gama de medidas.
Los componentes de este complejo son la protección contra el acceso no autorizado (AT), contra fugas a través de canales técnicos, contra dispositivos electrónicos especiales posiblemente introducidos y programas de virus.
NSD puede ser realizado por una persona o un programa iniciado por ella en relación con la información protegida, así como por una persona en relación con el equipo y los canales de transmisión. de la información protegida.
Son los requisitos para la protección contra el acceso no autorizado a la información.
La protección de los equipos y canales de transmisión de información protegida se prevé en estos RD de forma indirecta, introduciendo requisitos para su protección física.
De acuerdo con el RD “Protección contra el acceso no autorizado a la información .
Términos y definiciones NSD a la información: acceso a información que viola las reglas de control de acceso utilizando medios estándar proporcionados por tecnología informática o sistemas automatizados .
Se entiende por herramientas estándar un conjunto de software, firmware y hardware para equipos informáticos o sistemas automatizados.
A pesar de esto, la acción de un marcador de software integrado («gusano», etc.), que dio como resultado el acceso del atacante a la información protegida, también puede considerarse un acto de manipulación. Cualquier otra acción de programas maliciosos se incluye en la definición de influencia no autorizada sobre la información.
En un sentido amplio, proteger la información del acceso no autorizado es una actividad destinada a impedir que el interesado obtenga información protegida. información en violación de los documentos legales establecidos o del propietario, el propietario de los derechos de información o las reglas de acceso a la información protegida.
Una parte interesada que realiza el control aduanero sobre la información protegida puede ser: un estado, una persona jurídica, un grupo de personas, incluida una organización pública, o un individuo. (GOST R 50922-96 Protección de la información. Términos y definiciones básicos).
El lugar de la protección de la información (IP) contra el acceso no autorizado en el marco de la protección de la información se presenta en el diagrama (Fig. 1).
Fig. 1. NSV – impacto no autorizado;
NPV – impacto no intencional;
TR – inteligencia técnica.
En la definición de acceso no autorizado a la información que figura en el RD “Protección contra el acceso no autorizado a la información. Términos y Definiciones”, existen dos conceptos no menos interesantes que el término NSD: instalaciones informáticas (CT) y sistemas automatizados (AS).
Estos conceptos son necesarios para representar el entorno de implementación de NSD .
La división en SVT y AS está prevista en el RD “Concepto para proteger a SVT y AS del acceso no autorizado a la información”.
La diferencia entre las dos direcciones se genera por el hecho de que los SVT se desarrollan y suministran al mercado sólo como elementos a partir de los cuales posteriormente se construyen AS orientados funcionalmente y, por lo tanto, sin resolver problemas aplicados, los SVT no contienen información del usuario.
Además de la información del usuario, al crear un AS, aparecen características del AS que estaban ausentes durante el desarrollo de SVT, como poderes de usuario, un modelo de intruso y tecnología de procesamiento de información.
Un ejemplo de SVT suele ser una tarjeta de expansión con hardware y software apropiados que implementa la función de autenticación de usuario (por ejemplo, usando memoria táctil).
RD “SVT. Protección contra el acceso no autorizado a la información. Indicadores de protección contra NSD” da el término SVT según GOST R 50739-95 “SVT. Protección contra el acceso no autorizado a la información. Requisitos técnicos generales”, como conjunto de software y elementos técnicos de los sistemas de procesamiento de datos capaces de funcionar de forma independiente o como parte de otros sistemas.
A pesar de que SVT es un conjunto de software y elementos técnicos, los sistemas operativos y programas especializados también se clasifican como SVT.
Según GOST 34.003- 90 “Tecnologías de la información. Un conjunto de estándares para oradores. C.A. Términos y definiciones”, se entiende por sistema automatizado un sistema formado por personal y un conjunto de medios para automatizar sus actividades, implementando tecnologías de la información para el desempeño de funciones establecidas.
Según el tipo de actividad se distinguen los siguientes tipos de AS: sistemas de control automatizado (ACS), sistemas de diseño asistido por ordenador (CAD), etc.
Uno de los El componente principal del AS es una estación de trabajo automatizada (AWS), un complejo de software y hardware automatizado diseñado para automatizar un determinado tipo de actividad, que es muy similar a la definición de SVT dada anteriormente. En el caso más sencillo, la estación de trabajo se representa como un PC y el usuario trabajando en él.
Por lo tanto, una PC con el software instalado es formalmente un SVT hasta que la pones en funcionamiento instalándola en una habitación específica y asignándole un usuario.
Incluso si el usuario es el único al que se le permite acceder a toda la información contenida en un soporte con un nivel de confidencialidad y utiliza un PC exclusivamente para crear documentos de texto en un único editor de texto, se trata de un AS en forma de estación de trabajo automatizada (en en este caso, clase 3B o 3A).
NSD: ataque y defensa
Los principales métodos de NSD incluyen:
- acceso directo a objetos de acceso;
- creación de software y hardware que accede a objetos de acceso sin pasar por los medios de seguridad;
- modificación de los medios de seguridad que permiten el acceso no autorizado;
- introducción de software o mecanismos técnicos en los medios técnicos de SVT o AS que violan la estructura prevista y funciona SVT o AS y permite NSD.
La protección de la información contra el acceso no autorizado es una parte integral del problema general de garantizar la seguridad de la información.
Medidas para proteger la información contra el acceso no autorizado debe llevarse a cabo junto con medidas de protección especial de los equipos informáticos, medios y sistemas de comunicación básicos y auxiliares frente a los medios técnicos de inteligencia de espionaje industrial.
Algunos de los principios básicos de protección contra el acceso no autorizado son:
- garantizar la protección de los equipos electrónicos con un complejo de herramientas de software y hardware;
- brindar protección de los AS con un complejo de herramientas de software y hardware y medidas organizativas que las respalden.
Protección contra el acceso no autorizado a la información durante su procesamiento, SVT se caracteriza por el hecho de que solo las personas debidamente autorizadas o los procesos iniciados por ellas tendrán acceso para leer, escribir, crear o destruir información.
Las medidas organizativas en el marco del sistema para proteger la información contra información no discriminatoria (SZI NSD) en sistemas automatizados que procesan o almacenan información que es propiedad del Estado y clasificada como secreta deben cumplir con los requisitos estatales para garantizar el secreto del trabajo que se realiza. .
Al procesar o almacenar en el AS información que no esté clasificada como secreta, en el marco del sistema de seguridad de la información NSD, se recomiendan las siguientes medidas organizativas para empresas estatales, colectivas, privadas y conjuntas, así como para individuos:
- identificación de la información confidencial y su documentación en forma de lista de información a proteger;
- determinación del procedimiento para establecer el nivel de autoridad del sujeto de acceso , así como el círculo de personas a quienes se otorga este derecho;
- reglas de control de acceso al establecimiento y registro, es decir. un conjunto de reglas que rigen los derechos de acceso de los sujetos a los objetos;
- familiarización del sujeto de acceso con la lista de información protegida y su nivel de autoridad, así como con la documentación organizativa, administrativa y de trabajo que define los requisitos y el procedimiento para el procesamiento de información confidencial;
- recibir del sujeto de acceso una recepción de la no divulgación de la información confidencial que se le ha confiado;
- garantizar la seguridad de la instalación en la que se encuentra la central nuclear protegida (territorio, edificios, locales, almacenamiento de medios de información) mediante la instalación de postes adecuados, equipos técnicos de seguridad o cualquier otro medio que impida o complique significativamente el robo de equipos, información. medios, así como NSD a equipos y líneas de comunicación de equipos;
- selección de la clase de seguridad del AS de acuerdo con las características del procesamiento de la información (tecnología de procesamiento, condiciones operativas específicas del AS) y el nivel de su confidencialidad;
- organización de un servicio de seguridad de la información (personas responsables, administrador de AS), responsable de registrar, almacenar y emitir medios de información, contraseñas, claves, mantener la información oficial del sistema de seguridad de la información NSD (generar contraseñas, claves, mantener reglas de control de acceso), aceptar nuevo software incluido en el AS, así como el seguimiento del progreso del proceso tecnológico de procesamiento de información confidencial, etc.;
- desarrollo del sistema de información y protección de datos de no discriminación, incluyendo las pertinentes regulaciones organizativas , documentación administrativa y operativa;
- aceptación del sistema de información y de información para la no discriminación como parte del AS.
Se considera infractor a un sujeto que tiene acceso a trabajar con medios AS y SVT estándar como parte del AS.
Los infractores se clasifican según el nivel de capacidades que les proporciona medios estándar AS y SVT. El RD «El concepto de protección de SVT y AS contra el acceso no autorizado a la información» identifica 4 niveles de capacidades de los infractores: desde el primero, el más bajo, hasta el cuarto, el más alto.
A su nivel, el intruso es un especialista altamente cualificado, lo sabe todo sobre el AS y, en particular, sobre el sistema y sus medios de protección. Desafortunadamente, ninguno de los RD disponibles contiene una descripción explícita de las amenazas a la información que representan los infractores.
Acerca de los medios de protección contra el acceso no autorizado
El propósito de este artículo no es revisar y comparar los medios de protección disponibles contra el acceso no autorizado (en adelante, los medios de protección).
Las descripciones de estos medios se encuentran a menudo en la prensa especializada. Sin embargo, el autor del artículo quiere llamar la atención sobre algunos aspectos de la elección de los fondos.
Elegir nunca es una tarea fácil. Es importante tener en cuenta muchas cosas: desde la disponibilidad de certificados hasta las características de uso de un producto en particular.
En Rusia, en relación con SVT, y el equipo de protección se refiere a SVT, se utiliza el concepto de “certificación según los requisitos de seguridad”.
El cumplimiento de los requisitos de seguridad de la central nuclear se confirma mediante el Certificado de conformidad. El procesamiento de información que constituye un secreto de estado está permitido únicamente con el uso de medios y sistemas de protección certificados.
El certificado de la Comisión Técnica del Estado para un medio de protección generalmente se emite por un período de 3 años. En ocasiones, en el texto del certificado se puede encontrar una indicación explícita de qué información se puede proteger utilizando esta herramienta.
La solución, por ejemplo, puede no estar destinada a proteger información que constituya un secreto de Estado. El certificado no siempre certifica la clase del equipo de protección según el RD “SVT. Protección contra el acceso no autorizado a la información. Indicadores de protección contra NSD» (en adelante, RD SVT).
Puede encontrar una indicación de la posibilidad de utilizar esta herramienta al crear AS que cumpla con los requisitos de RD «AS . Protección contra el acceso no autorizado a la información. Clasificación de AS y requisitos para la protección de la información” (en adelante, RD AS) según una determinada clase de seguridad (por ejemplo, 1D).
En este caso, el producto probablemente tenga las capacidades que se utilizan para crear el AS, pero faltan algunas funciones necesarias para la certificación según SVT RD.
A veces, el cumplimiento de una determinada clase según el RD SVT está garantizado con la siguiente cláusula: “sujeto al cumplimiento de las restricciones indicadas en las especificaciones técnicas”. Desafortunadamente, familiarizarse con las condiciones técnicas según las cuales se desarrolla y fabrica un producto no siempre es una tarea trivial.
Volviendo a la cuestión de las PC como SVT, cabe señalar que hay PC que cuentan con un certificado de la Comisión Técnica Estatal como “un medio técnico de procesamiento de información, fabricado en un diseño protegido” de acuerdo con las normas de protección contra fugas del PEMIN. No se lleva a cabo la certificación de PC según los requisitos de RD SVT.
Como resultado, se obtiene la confirmación del cumplimiento de los requisitos de seguridad para una PC específica, como componente de un AS. del procedimiento de certificación obligatorio para los AS destinados a procesar información que constituye secreto de estado.
Durante la certificación, estamos hablando de una muestra específica destinada a su uso en determinadas condiciones con una ubicación específica determinada en relación con otros medios técnicos directamente en el sitio de operación (una muestra estándar de un producto está sujeta a certificación sin referencia al sitio de operación ).
Muchos proveedores de seguridad ofrecen versiones de demostración del software de forma gratuita.
Se pueden encontrar en Internet, en los sitios web de los fabricantes o en recursos dedicados a la seguridad de la información. No debe desaprovechar la oportunidad de “tocar”, incluso una versión ligeramente simplificada del producto que planea utilizar.
Si el producto tiene características similares, es útil comparar entre sí. En este caso, las características operativas y la presencia de las funciones necesarias, sin mencionar la facilidad de uso (si este término se aplica generalmente a las herramientas de seguridad de la información), no sorprenderán a los usuarios durante la puesta en servicio.
Cabe señalar que el cumplimiento de algunos requisitos por parte de una herramienta de seguridad puede ser difícil de verificar en la práctica.
RD AS contiene un requisito para borrar las áreas liberadas de la RAM de la computadora y los dispositivos de almacenamiento externos para clases 3A, 2A, 1G-1A mediante escritura aleatoria doble en un área de memoria liberada previamente utilizada para almacenar datos (archivos) protegidos.
Para SVT, este requisito suena diferente para diferentes clases de seguridad:
- impedir el acceso del sujeto a información residual durante la tarea inicial o durante la redistribución de la memoria externa (para clase de seguridad 5);
- dificultad para el acceso del sujeto a información residual durante la tarea inicial o durante la redistribución de la memoria externa, durante la redistribución de la RAM se debe limpiar (para clase de seguridad 4);
- limpiar la RAM y la memoria externa escribiendo información de enmascaramiento en la memoria cuando se libera (redistribuye) (para las clases de seguridad 3, 2 y 1).
De acuerdo, verifique el sistema proteger la capacidad, borrar la RAM, sin mencionar cuántas veces se realizó este procedimiento, no es una tarea fácil.
Cabe mencionar que existe otro documento de la Comisión Técnica del Estado, según el cual se realiza la certificación por la ausencia de capacidades no declaradas en el software diseñado para proteger información restringida: este es el RD “Protección contra el acceso no autorizado a la información. Parte 1.
Software de seguridad de la información. Clasificación según el nivel de control sobre la ausencia de capacidades no declaradas.” Este documento establece cuatro niveles de control sobre la ausencia de capacidades no declaradas.
Cada nivel se caracteriza por un determinado conjunto mínimo de requisitos.
El nivel más alto de control es el primero, suficiente para el software utilizado para proteger información clasificada como “especial importancia”.
El segundo nivel de control es suficiente para el software utilizado para proteger información clasificada como “top secret”».
El tercer nivel de control es suficiente para el software utilizado para proteger información clasificada como “secreta”. El nivel más bajo de control es el cuarto, suficiente para el software utilizado para proteger información confidencial.
Se entiende por capacidades no declaradas la funcionalidad del software que no está descrita o no se corresponde con las descritas en el documentación, cuyo uso puede violar la confidencialidad, disponibilidad o integridad de la información procesada.
La implementación de capacidades no declaradas, en particular, son marcadores de software.
Sin embargo, la disponibilidad de certificados en la actualidad es un requisito obligatorio sólo cuando se procesa información que constituye secretos de estado, ¡así que la elección es suya!