НСД: ТЕОРИЯ И ПРАКТИКА.
МАСЮК Михаил Игоревич
Терминология
При постановке задачи защиты информации необходимо учитывать реализацию целого комплекса мероприятий.
Составными частями этого комплекса являются защита от несанкционированного доступа (НСД), от утечки по техническим каналам, от возможно внедренных специальных электронных устройств и программ-вирусов.
НСД может быть осуществлен человеком или инициированной им программой по отношению к защищаемой информации, а также человеком по отношению к оборудованию и каналам передачи защищаемой информации.
Именно требованиям по защите от НСД к информации посвящен ряд руководящих документов (РД) Гостехкомиссии России.
Защита оборудования и каналов передачи защищаемой информации предусматривается в этих РД косвенно, введением требований по их физической охране.
В соответствии с РД “Защита от НСД к информации.
Термины и определения НСД к информации – доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.
Несмотря на это, действие внедренной программной закладки (“червя” и т.п.), результатом которого стало попадание защищаемой информации к злоумышленнику, также можно рассматривать как факт НСД. Любые другие действия вредоносных программ подпадают под определение несанкционированного воздействия на информацию.
В широком смысле защита информации от НСД – деятельность, направленная на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Заинтересованным субъектом, осуществляющим НСД к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо. (ГОСТ Р 50922-96 Защита информации. Основные термины и определения.).
Место защиты информации (ЗИ) от НСД в рамках защиты информации представлено на схеме (рис. 1).
Рис. 1. НСВ – несанкционированное воздействие;
НПВ – непреднамеренное воздействие;
ТР – техническая разведка.
В определении НСД к информации, приведенном в РД “Защита от НСД к информации. Термины и определения”, фигурируют два не менее интересных, чем термин НСД, понятия: средства вычислительной техники (СВТ) и автоматизированные системы (АС).
Данные понятия необходимы для представления среды реализации НСД.
Разделение на СВТ и АС предусмотрено РД “Концепция защиты СВТ и АС от НСД к информации”.
Отличие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации.
Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации.
В качестве примера СВТ обычно приводят плату расширения с соответствующим аппаратным и программным обеспечением, реализующую функцию аутентификации пользователей (например, с использованием Touch memory).
РД “СВТ. Защита от НСД к информации. Показатели защищенности от НСД” приводит термин СВТ по ГОСТу Р 50739-95 “СВТ. Защита от НСД к информации. Общие технические требования” как совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Несмотря на то, что СВТ – это совокупность программных и технических элементов, операционные системы и специализированные программы, также причисляются к СВТ.
Согласно ГОСТ 34.003-90 “Информационная технология. Комплекс стандартов на АС. АС. Термины и определения”, под АС понимается система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
В зависимости от вида деятельности выделяют следующие виды АС: автоматизированные системы управления (АСУ), системы автоматизированного проектирования (САПР) и др.
Одним из основных компонентов АС является автоматизированное рабочее место (АРМ) – программно технический комплекс АС, предназначенный для автоматизации деятельности определенного вида, что очень напоминает определение СВТ, данное выше. В простейшем случае АРМ представляется как ПЭВМ и работающий на ней пользователь.
Таким образом, ПЭВМ с установленным ПО формально является СВТ, пока вы не ввели ее в эксплуатацию, установив в конкретном помещении и закрепив за ней пользователя.
Даже если пользователь единственный допущенный ко всей информации, размещенной на носителе одного уровня конфиденциальности, и использует ПЭВМ исключительно для создания текстовых документов в единственном текстовом редакторе – это АС в виде АРМа (в этом случае класса 3Б или 3А).
НСД: нападение и защита
К основным способам НСД относятся:
- непосредственное обращение к объектам доступа;
- создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;
- модификация средств защиты, позволяющая осуществить НСД;
- внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.
Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации.
Мероприятия по защите информации от НСД должны осуществляться взаимосвязанно с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки промышленного шпионажа.
Одними из основных принципов защиты от НСД являются:
- обеспечение защиты СВТ комплексом программно-технических средств;
- обеспечение защиты АС комплексом программно-технических средств и поддерживающих их организационных мер.
Защищенность от НСД к информации при ее обработке СВТ характеризуется тем, что только надлежащим образом уполномоченные лица или процессы, инициированные ими, будут иметь доступ к чтению, записи, созданию или уничтожению информации.
Организационные мероприятия в рамках системы защиты информации от НСД (СЗИ НСД) в АС, обрабатывающих или хранящих информацию, являющуюся собственностью государства и отнесенную к категории секретной, должны отвечать государственным требованиям по обеспечению режима секретности проводимых работ.
При обработке или хранении в АС информации, не отнесенной к категории секретной, в рамках СЗИ НСД государственным, коллективным, частным и совместным предприятиям, а также частным лицам рекомендуются следующие организационные мероприятия:
- выявление конфиденциальной информации и ее документальное оформление в виде перечня сведений, подлежащих защите;
- определение порядка установления уровня полномочий субъекта доступа, а также круга лиц, которым это право предоставлено;
- установление и оформление правил разграничения доступа, т.е. совокупности правил, регламентирующих права доступа субъектов к объектам;
- ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;
- получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;
- обеспечение охраны объекта, на котором расположена защищаемая АС, (территория, здания, помещения, хранилища информационных носителей) путем установления соответствующих постов, технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими хищение СВТ, информационных носителей, а также НСД к СВТ и линиям связи;
- выбор класса защищенности АС в соответствии с особенностями обработки информации (технология обработки, конкретные условия эксплуатации АС) и уровнем ее конфиденциальности;
- организация службы безопасности информации (ответственные лица, администратор АС), осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), приемку включаемых в АС новых программных средств, а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.;
- разработка СЗИ НСД, включая соответствующую организационно-распорядительную и эксплуатационную документацию;
- осуществление приемки СЗИ НСД в составе АС.
В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС.
Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. РД “Концепция защиты СВТ и АС от НСД к информации” выделяет 4 уровня возможностей нарушителей: от первого – самого низкого, до четвертого – самого высокого.
В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты. К сожалению, ни один из имеющихся РД не содержит в явном виде описания угроз информации, которые представляют нарушители.
О средствах защиты от НСД
Целью данной статьи не является обзор и сравнение имеющихся средств защиты от НСД (далее средство защиты).
Описания подобных средств часто встречаются в специализированной печати. Однако автор статьи хочет обратить внимание на некоторые аспекты выбора средств.
Выбор всегда нелегкая задача. Важно учесть многое: от наличия сертификатов до особенностей использования конкретного продукта.
В России по отношению к СВТ, а средство защиты относится к СВТ, применяется понятие “сертификация по требованиям безопасности”.
Соответствие требованиям безопасности АС подтверждается Аттестатом соответствия. Обработка информации, составляющей государственную тайну, разрешается только с использованием сертифицированных средств и систем защиты.
Сертификат Гостехкомиссии на средство защиты обычно выдается сроком на 3 года. Иногда в тексте сертификата можно встретить явное указание на то, какую информацию можно защищать с помощью данного средства.
Средство защиты, например, может быть не предназначено для защиты сведений, составляющих государственную тайну. Не всегда сертификат удостоверяет класс средства защиты в соответствии с РД “СВТ. Защита от НСД к информации. Показатели защищенности от НСД” (далее РД СВТ).
Можно встретить указание на возможность использования данного средства при создании АС, соответствующих требованиям РД “АС. Защита от НСД к информации. Классификация АС и требования по защите информации” (далее РД АС) по определенному классу защищенности (например, 1Д).
В этом случае изделие, вероятно, имеет такие возможности, которые используются при создании АС, но некоторые функции, необходимые для сертификации по РД СВТ, отсутствуют.
Иногда соответствие определенному классу по РД СВТ гарантируется с оговоркой следующего вида: “при условии соблюдения ограничений, приведенных в технических условиях”. К сожалению, не всегда ознакомление с техническими условиями, в соответствии с которыми разрабатывается и изготавливается изделие, является тривиальной задачей.
Возвращаясь к вопросу о ПЭВМ как СВТ, следует отметить, что встречаются ПЭВМ имеющие сертификат Гостехкомиссии на “техническое средство обработки информации, выполненное в защищенном исполнении” по нормам защиты от утечки за счет ПЭМИН. Сертификация ПЭВМ по требованиям РД СВТ не осуществляется.
Подтверждение соответствия требованиям по безопасности конкретная ПЭВМ, как составляющая АС, получает в результате проведения процедуры аттестации, обязательной для АС, предназначенных для обработки информации, составляющей государственную тайну.
При аттестации речь идет о конкретном образце, предназначенном для использования в определенных условиях с заданным конкретным расположением относительно других технических средств непосредственно на месте эксплуатации (сертификации же подвергается типовой образец изделия без привязки к месту эксплуатации).
Многие производители средств защиты бесплатно предоставляют демонстрационные версии ПО.
Их можно найти в интернете на сайтах производителей или ресурсах, посвященных информационной безопасности. Не стоит пренебрегать возможностью “пощупать”, пусть даже несколько урезанную версию продукта, который вы планируете использовать.
При схожих характеристиках изделия нелишне сравнить между собой. В этом случае особенности работы и наличие необходимых функций, не говоря уже про удобство использования (если этот термин вообще применим для средств защиты информации), не станут для пользователей неожиданностью при вводе в эксплуатацию.
Следует обратить внимание на то, что выполнение некоторых требований средством защиты бывает сложно проверить практически.
РД АС содержит требование очистки освобождаемых областей оперативной памяти ЭВМ и внешних накопителей для классов 3А, 2А, 1Г-1А путем двукратной произвольной записи в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).
Для СВТ данное требование звучит для различных классов защищенности по-разному:
- предотвращение доступа субъекта к остаточной информации при первоначальном назначении или при перераспределении внешней памяти (для 5 класса защищенности);
- затруднение доступа субъекта к остаточной информации при первоначальном назначении или при перераспределении внешней памяти, при перераспределении оперативной памяти должна осуществляться ее очистка (для 4 класса защищенности);
- осуществление очистки оперативной и внешней памяти путем записи маскирующей информации в память при ее освобождении (перераспределении) (для 3, 2 и 1 классов защищенности).
Согласитесь, проверить способность системы защиты затирать оперативную память, не говоря о том, сколько раз была проведена данная процедура, нелегкая задача.
Следует упомянуть, что существует еще один документ Гостехкомиссии, согласно которому производится сертификация на предмет отсутствия недекларированных возможностей в ПО, предназначенном для защиты информации ограниченного доступа, – это РД “Защита от НСД к информации. Часть 1.
Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей”. Данный документ устанавливает четыре уровня контроля отсутствия недекларированных возможностей.
Каждый уровень характеризуется определенной минимальной совокупностью требований.
Самый высокий уровень контроля – первый, достаточен для ПО, используемого при защите информации с грифом “особой важности”.
Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом “совершенно секретно”.
Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом “секретно”. Самый низкий уровень контроля – четвертый, достаточен для ПО, используемого при защите конфиденциальной информации.
Под недекларированными возможностями понимаются функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Реализацией недекларированных возможностей, в частности, являются программные закладки.
Впрочем, наличие сертификатов в настоящее время является обязательным требованием только при обработке сведений, составляющих государственную тайну, так что выбор за вами!