11. Вимоги до захисту інформації від НСД в АС класу 1

Згідно НД ТЗІ 2.5-005-99 «Класифікація АС і СФПЗ оброблюваної інформації від НСД» до АС класу 1 (далі - АС) відносяться системи, створені на базі одномашинного обчислювального комплексу (ПЕОМ – персональна електронно-обчислювальна машина), який кожного моменту може забезпечувати роботу тільки одного користувача.

1. Типові умови функціонування АС

Умови функціонування будь-якої АС визначаються такими її складовими:
- обчислювальна система,
- фізичне середовище,
- середовище користувачів,
- інформація, що обробляється,
- технології обробки інформації.

Характеристика обчислювальної системи

Обчислювальна система А складається з:
- стандартної ПЕОМ з периферійними пристроями введення, виведення, накопичення та відображення інформації (системний блок, клавіатура, монітор, миша, принтер тощо);
- ПЗ (системного та спеціалізованого для обробки інформації);
- КЗЗ від НСД (у тому числі антивірус).

Склад апаратного та програмного забезпечення АС вказується у формулярі АС.

Типові умови функціонування обчислювальної системи вимагають таке:

- ПЗ має відповідним чином оформлену ліцензію на право його легального використання;

- КЗЗ від НСД (у тому числі антивірус) має відповідним чином оформлений експертний висновок або сертифікат, який свідчить про відповідність КЗЗ вимогам НД ТЗІ;

- у разі обробки інформації, що становить державну таємницю, комплекс ТЗІ, який забезпечує захист інформації від витоку технічними каналами, має акт атестації, оформлений згідно вимог НД ТЗІ.

Характеристика фізичного середовища

До фізичного середовища відноситься:

- приміщення, де розташована АС з усіма її компонентами (обчислювальна система, сховище носіїв інформації та ПЗ, робочі місця користувача та обслуговуючого персоналу);

- всі технічні засоби, встановлені в цьому приміщенні (засоби комунікації, сигналізації, електроживлення, заземлення, кондиціювання та побутові прилади).

Типові умови функціонування АС стосовно фізичного середовища вимагають таке:

- у приміщенні, де розташована АС з усіма її компонентами, запроваджений режим обмеження та контролю доступу згідно вимог діючого законодавства;

- у разі обробки інформації, що становить державну таємницю, всі технічні канали витоку інформації з АС блоковані засобами ТЗІ.

Характеристика середовища користувачів

За рівнем повноважень доступу до інформації, характером та змістом робіт, які виконуються в процесі функціонування АС, суб'єкти, що мають доступ до АС, поділяються на такі групи:
- користувач, що має повноваження доступу до КЗЗ від НСД (адміністратор безпеки);
- користувачі, що мають повноваження доступу до інформації, що обробляється в АС;
- персонал, що забезпечує працездатність АС;
- персонал, що обслуговує приміщення, де розташована АС.

Повноваження користувачів першої та другої груп повинні бути фізично розділені, тобто виконуватися різними особами. Допускається виконання адміністратором безпеки додаткових функцій системного адміністратора.

Типові умови функціонування АС стосовно доступу користувачів до інформації вимагають таке:

- усі користувачі допущені до інформації, що обробляється в АС;

- доступ користувачів до службової інформації дозволяється після ознайомлення під розпис з вимогами «Типової інструкції про порядок ведення обліку, зберігання, використання та знищення документів і інших матеріальних носіїв інформації, які містять службову інформацію» (ПКМУ від 19.10.2016 № 736);

- доступ користувачів до інформації, що становить державну таємницю, дозволяється лише у разі наявності відповідного допуску згідно вимог «Порядок організації та забезпечення режиму секретності в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і організаціях» (ПКМУ від 02.10.2003 № 1561-12).

Характеристика інформації, що обробляється в АС

Інформація згідно вимог захисту поділяється на такі групи:
- дані у вигляді файлів різних форматів, записів баз даних та інших структур машинного представлення (далі - дані), які містять ІзОД;
- дані, які не містять ІзОД;
- бази даних захисту (списки зареєстрованих користувачів, їх ідентифікаторів і повноважень, матриці доступу, журнали обліку тощо);
- дані, захищені ліцензійними умовами використання та розповсюдження, або такі, що належать деяким групам та окремим користувачам.

Типові умови щодо інформації, яка обробляється в АС, вимагають таке:
- дані, які входять до бази даних захисту, повинні бути віднесені до ІзОД із встановленням ступеня обмеження, не нижчим ступеня обмеження інформації, що обробляється в АС;
- реєстрація, обіг, зберігання та знищення ІзОД здійснюються згідно вимог діючого законодавства та відомчих інструкцій.

Характеристика технологій обробки інформації

ІзОД під час обробки в АС повинна мати атрибути з визначенням встановленого ступеня її обмеження відповідно до вимог діючого законодавства. Машинні носії, на які виводиться ІзОД, повинні мати встановлені відповідно до порядку забезпечення режиму обмеження реквізити.

Технології обробки ІзОД в АС вимагають реєстрацію її носіїв, видачу їх користувачу під розпис і зберігання в металевому сховищі. Якщо на носії зберігаються дані різних ступенів обмеження, гриф обмеження носія повинен відповідати вищому ступеню обмеження даних, що на ньому зберігаються.

Технології обробки інформації залежать від повноважень доступу користувачів до даних, розміщених на носії інформації, до якого вони мають доступ:
1) всі користувачі мають однакові повноваження;
2) користувачі мають різні повноваження, що ускладнює функціональний профіль захищеності (далі - ФПЗ) АС.

Прикладом першої (найпростішої) технології можуть бути випадки, коли:
- середовище користувачів складається лише з двох користувачів: звичайного та адміністратора безпеки;
- кожний користувач працює лише з особистим носієм інформації, до якого тільки він має доступ;
- кількість користувачів невелика, всі вони для виконання одного й того ж завдання організовані у групу користувачів і мають однакові повноваження щодо доступу до всіх даних в АС на весь час функціонування КСЗІ.

2. Визначення ФПЗ

Для умов середовищ АС можна визначити ФПЗ - мінімальний перелік послуг безпеки, які, за умови впровадження комплексу необхідних організаційних заходів, є функціонально достатніми для виконання завдань захисту інформації в АС.

Сукупність цих послуг забезпечує підтримання програмно-апаратними засобами АС процедур автентифікації користувачів АС, адміністративного розмежування доступу користувачів до даних, що зберігаються на носіях інформації, а також процедур контролю за діями користувачів із цими об’єктами.

На даний час у системі НД ТЗІ відсутній документ, що встановлює вимоги до КЗЗ від НСД в АС, де обробляється відкрита або конфіденційна інформація. Разом з тим, загальні вимоги захисту інформації висуваються «Правилами забезпечення захисту в ІТС», затвердженими ПКМУ від 29.03.2006 № 373 (далі - Правила). Тому вихідні дані для визначення ФПЗ отримаємо з цих Правил.

Так, пункт 5 Правил висуває такі вимоги:

1. Усім користувачам повинен бути забезпечений доступ до ознайомлення з відкритою інформацією, що вимагає наявності послуги використання ресурсів (ДР).

2. Модифікувати або знищувати відкриту інформацію можуть лише ідентифіковані та автентифіковані користувачі, яким надано відповідні повноваження. Це вимагає наявності послуг ідентифікації і автентифікації (НИ) і адміністративної цілісності (ЦА).

3. Спроби модифікації чи знищення відкритої інформації користувачами, які не мають на це повноважень або не підтверджені під час автентифікації пред'явленим ідентифікатором повинні блокуватися. Це вимагає наявності послуги «одиночна ідентифікація і автентифікація» (НИ-2), для якої потрібна також послуга «однонаправлений достовірний канал» (НК-1).

Пункт 11 Правил висуває такі вимоги:

1. У системі здійснюється обов'язкова автоматична реєстрація небезпечних для ІТС подій, що вимагає наявності послуги реєстрації (НР).

2. Реєстраційні дані захищаються від модифікації та знищення користувачами, які не мають повноважень адміністратора безпеки, що вимагає наявності послуги «захищений журнал» (НР-2).

3. Забезпечується можливість проведення аналізу реєстраційних даних виключно спеціально уповноваженим користувачем, що вимагає наявності послуги виділення адміністратора (НО-1).

Пункт 15 Правил висуває такі вимоги:

1. У системі здійснюється контроль за цілісністю програмного забезпечення, яке використовується для обробки інформації, запобігання несанкціонованій його модифікації та ліквідація наслідків такої модифікації. Це вимагає наявності послуг самотестування (НТ), відкату (ЦО) і відновлення після збоїв (ДВ).

2. Контролюється також цілісність програмних та технічних засобів захисту інформації, а у разі порушення їх цілісності обробка інформації в системі припиняється. Це вимагає наявності послуги цілісності КЗЗ (НЦ).

За умови наявності лише користувачів з однаковими повноваженнями доступу до інформації послуги безпеки базуються на довірчому розмежуванні доступу (КД і ЦД).

Виходячи з вище зазначеного, виписуємо всі визначені послуги безпеки в один рядок і обираємо схожий СФПЗ із НД ТЗІ 2.5-005-99 для АС класу 1. В результаті отримаємо необхідний СФПЗ для оброблення в АС відкритої інформації з мінімальними вимогами до забезпечення її цілісності та доступності:

1.ЦД.1 = { ЦА-1, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }

А СФПЗ у разі оброблення службової інформації повинен мати мінімальні вимоги до забезпечення не тільки цілісності та доступності інформації, а ще її конфіденційності.

Так, пункт 6 Правил висуває такі вимоги:

Під час обробки службової інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення. У системі забезпечується можливість надання користувачу права на обробку службової інформації або позбавлення його такого права. Це вимагає наявності послуг адміністративної конфіденційності (КА) та повторного використання об’єктів (КО-1).

Виходячи з вище зазначеного, додаємо до СФПЗ 1.ЦД.1 послуг адміністративної конфіденційності (КА) та повторного використання об’єктів (КО-1) і в результаті отримаємо СФПЗ для обробки в АС службової інформації з мінімальними вимогами до забезпечення її конфіденційності, цілісності та доступності:

1.КЦД.1 = { КА-1, КО-1, ЦА-1, ЦО-1, ДР-1, ДВ-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }

У випадку, коли усі користувачі допущені до обробки службової інформації в АС, реалізація послуги повторного використання об’єктів (КО-1) необов’язкова. А у разі наявності користувачів, що допущені до обробки лише відкритої інформації в АС, її реалізація обов’язкова.

3. Політика послуг безпеки ФПЗ

Послуги конфіденційності

Мінімальна адміністративна конфіденційність КА-1

Ця послуга здійснювати розмежування доступу на підставі атрибутів доступу процесу і захищеного об'єкта. КЗЗ повинен надавати можливість адміністратору для кожного захищеного об'єкта шляхом керування належністю користувачів, процесів і об'єктів до відповідних доменів визначити конкретні процеси, які мають право одержувати інформацію від об'єкта.

Політика реалізації послуги повинна розповсюджуватися на файли даних системи захисту, файли ведення захищеного журналу реєстрації подій, функціональні програми КЗЗ. КЗЗ повинен надавати адміністратору безпеки права доступу до процесів, що обслуговують ведення бази даних системи захисту.

КЗЗ повинен надавати адміністратору безпеки права доступу до процесів, що обслуговують ведення та аналіз захищеного журналу, в якому реєструються події, визначені політикою безпеки послуги НР-2. Доступ до файлів даних системи захисту, файлів ведення захищеного журналу, в якому реєструються події, визначені політикою безпеки, повинен мати тільки адміністратор.

Повторне використання об’єктів КО-1

Ця послуга дозволяє забезпечити коректність повторного використання розділюваних об'єктів, гарантуючи, що в разі, якщо розділюваний об'єкт виділяється новому користувачу або процесу, то він не містить інформації, яка залишилась від попереднього користувача або процесу.

Політика повторного використання об'єктів, що реалізується КЗЗ, повинна відноситись до всіх об'єктів КС. Перш ніж користувач або процес зможе одержати в своє розпорядження звільнений іншим користувачем або процесом об'єкт, встановлені для попереднього користувача або процесу права доступу до даного об'єкта повинні бути скасовані.

Перш ніж користувач або процес зможе одержати в своє розпорядження звільнений іншим користувачем або процесом об'єкт, вся інформація, що міститься в даному об'єкті, повинна стати недосяжною.

Послуги цілісності

Мінімальна адміністративна цілісність ЦА-1

Ця послуга реалізовує розмежування доступу користувачів до об'єктів захисту на підставі атрибутів об'єктів, що характеризують рівень чутливості об'єктів до модифікації, та атрибутів користувачів, що характеризують рівень їх повноважень щодо модифікації об'єктів.

Запити на зміну повноважень щодо модифікації об’єктів, які захищаються, повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністратора безпеки. Права доступу щодо модифікації об'єкта, який захищається, повинні встановлюватися в момент його створення.

Обмежений відкат ЦО-1

Ця послуга забезпечує можливість відмінити окрему операцію або послідовність операцій й повернути захищений об'єкт, з яким маніпулював користувач, до попереднього наперед визначеного стану. Політика обмеженого відкату поширюється на: користувачів усіх категорій; сильно- та слабозв'язані об'єкти, які містять конфіденційну інформацію і в процесі обробки яких передбачається можливість їхньої модифікації користувачем, а також технологічну інформацію КСЗІ - і забезпечує взаємодію зазначених об'єктів.

Компоненти КЗЗ повинні мати автоматизовані засоби, які дозволяють авторизованому користувачу або процесу відкатити або відмінити певну множину операцій, що вже виконані над захищеним об'єктом за певний проміжок часу. Факт використання користувачем послуги має реєструватись в системному журналі. Відміна операції не повинна призводити до видалення в журналу запису про операцію, яка пізніше була відмінена, якщо остання підлягала реєстрації відповідно до вимог послуги НР-2.

Послуги доступності

Квоти ДР-1

Ця послуга дозволяє керувати використанням користувачами послуг та ресурсів.

Політика використання ресурсів, що реалізується КЗЗ, поширюється на: сильно- та слабозв'язані об'єкти, що містять інформацію будь-яких категорій; файлову систему (логічні диски, каталоги, підкаталоги тощо); системне та функціональне програмне забезпечення; технологічну інформацію щодо управління АС; окремі периферійні пристрої (принтери, накопичувачі інформації, змінні носії інформації і т.п.); обчислювальні ресурси АС - і забезпечує взаємодію зазначених об'єктів, передбачаючи можливість встановлення обмежень на їх використання користувачами всіх категорій.

Обмеження щодо використання окремим користувачем та/або процесом обсягів обчислювальних ресурсів АС або кількості об’єктів встановлюються адміністратором безпеки або користувачами, яким надано повноваження інших адміністраторів. Запити на зміну встановлених обмежень повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністраторів.

Спроби користувачів перевищити встановлені обмеження на використання ресурсів повинні реєструватися в системному журналі.

Ручне відновлення після збоїв ДВ-1

До переліку подій, після яких КЗЗ має переводити АС у стан блокування подальшої роботи, повинні бути внесені відмови або переривання процесів завантаження АС, ініціалізації та перевірки цілісності КЗЗ, процедур автентифікації користувачів, процедур ведення журналу реєстрації подій.

Повернення АС до нормального функціонування може бути здійснено тільки після втручання адміністратора безпеки або користувачів, яким надані відповідні повноваження. Повторна інсталяція КЗЗ можлива після копіювання адміністратором безпеки журналу подій на носій інформації для проведення аналізу можливих фактів порушень політики безпеки. За результатами робіт складається відповідний акт.

Послуги спостереженості

Захищений журнал НР-2

КЗЗ повинен бути здатним здійснювати реєстрацію таких подій, що мають безпосереднє відношення до безпеки:
- вхід і вихід користувача в систему (псевдонім користувача, дата, час);
- реєстрацію та видалення із системи користувачів (псевдонім користувача, дата, час);
- зміну пароля (псевдонім користувача, дата, час);
- виведення документа на принтер (псевдонім користувача, ідентифікатор файлу, серійний номер носія інформації, дата, час);
- створення, доступ та знищення файлів, які зберігаються на носії інформації (псевдонім користувача, ідентифікатор файлу, серійний номер носія інформації, дата, час);
- виявлення фактів порушення цілісності КЗЗ (код порушення, псевдонім користувача, дата, час).

КЗЗ повинен забезпечувати захист журналу реєстрації від несанкціонованого ознайомлення, модифікації або знищення.Адміністратор безпеки повинен мати в своєму розпорядженні засоби перегляду і аналізу журналу реєстрації.

Одиночна ідентифікація і автентифікація НИ-2

Кожний користувач повинен однозначно ідентифікуватися КЗЗ на підставі введеного імені (псевдоніму). Перш ніж дозволити будь-якому користувачу виконувати будь-які інші, контрольовані КЗЗ дії, КЗЗ повинен автентифікувати цього корис­тувача на підставі введеного ним пароля.

Для визначення псевдоніму та пароля повинна використовуватися буквено-цифрова клавіатура. Кількість символів у паролі повинно бути не менше 8. КЗЗ повинен забезпечувати захист даних автентифікації від несанкціонованого ознайомлення, модифікації або знищення.

Однонаправлений достовірний канал НК-1

Достовірний канал повинен використовуватися для початкової ідентифікації і автентифікації користувача. Зв'язок з використанням цього каналу повинен ініціюватися виключно користувачем.

Виділення адміністратора НО-1

Повинні бути визначені ролі адміністратора і звичайного користувача. Роль адміністратора повинна забезпечувати виконання функцій, визначених політикою послуги «мінімальна адміністративна конфіденційність». Роль звичайного користувача повинна бути обмежена функціями, необхідними для роботи із службовими даними, що містяться на носії інформації.

Функції, притаманні кожній з ролей, повинні бути мінімізовані так, щоб містити лише ті функції, які необхідні для виконання цієї ролі. Фізична особа повинна мати можливість виступати в певній ролі лише в тому разі, якщо у процесі автентифікації вона визначена як особа, якій притаманна ця роль.

КЗЗ з контролем цілісності НЦ-1

Повинен бути визначений склад КЗЗ і механізми контролю цілісності програмних та апаратних компонентів, що входять до складу КЗЗ.

Контроль цілісності програм та даних, що входять до КЗЗ, повинен здійснюватися при кожному включенні АС або завантаженні операційної системи. Контроль полягає у перевірці наявності всіх зазначених компонентів та відповідності їх контрольних характеристик еталонним значенням.

У разі виявлення порушення цілісності будь-якого із своїх компо­нентів КЗЗ повинен зареєструвати цю подію у журналі реєстрації і (або) автоматично відновити відповідність компонента еталону або привести АС до стану, з якого повернути її до нормального функціонування може лише адміністратор безпеки.

З метою недопущення порушення політики безпеки необхідно унеможливити використання в АС програмного забезпечення, яке не має відповідного дозволу та не призначене для обробки службової інформації, зокрема засобів налагодження програмного забезпечення, засобів моніторингу за процесами та ресурсами АС тощо.

Самотестування за запитом НТ-1

Повинні бути реалізовані процедури, які призначені для оцінки правильності функціонування КЗЗ. КЗЗ має бути здатним виконувати набір тестів з метою оцінки правильності функціонування своїх критичних функцій. Тести повинні вико­нуватися за запитом адміністратора безпеки.

За певних обставин в КСЗІ вимоги до політики реалізації окремих послуг безпеки можуть частково забезпечуватися організаційними або іншими заходами захисту. Якщо ці заходи у повному обсязі відповідають встановленим НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в КС від НСД» специфікаціям для певного рівня послуги безпеки, то рівень такої послуги, що входить до ФПЗ, може бути знижений на відповідну величину.

Як виняток, послуга безпеки, що входить до ФПЗ, може не реалізовуватись, якщо її політика у повному обсязі відповідно до моделі захисту інформації спрямована на нейтралізацію лише несуттєвих загроз, визначених моделлю загроз для інформації в АС.

Розподіл завдань захисту інформації між ФПЗ, організаційними (ОЗ) та інженерно-технічними заходами (ІТЗ), що можуть бути застосовані в АС, наведено в таблиці. Знаком «+» позначено необхідність впровадження заходів, визначених відповідними нормативно-правовими актами щодо захисту інформації, знаком «=» позначено необхідність впровадження заходів, визначених в експлуатаційній документації, що супроводжує впроваджений в АС КЗЗ. Для порівняння взяті дві ОС «Windows», які на даний час мають позитивний експертний висновок відповідності вимогам НД ТЗІ.

 

Загальні вимоги щодо захисту інформації

ІТЗ

ОЗ

ФПЗ

Windows
8 Profes-sional

Windows Server 2012 R2

 1.

Захист ІзОД від несанкціонованого:

 

 

 

 

 

- ознайомлення

+

=

КА-1
КО-1
ДВ-1

-
КО-1
ДВ-2

-
КО-1
ДВ-2

- розмноження

 

+

 

 

 

- розповсюдження

+

+

 

 

 

- копіювання

+

+

 

 

 

- відновлення

 

+

 

 

 

- модифікації

+

=

ЦА-1

-

-

2. 

Надання доступу до ІзОД за умови достовірного розпізнавання користувачів

 

=

НК-1
НИ-2

НК-1
НИ-2

НК-1
НИ-2

з урахуванням наданих згідно з службовою необхідністю повноважень

 

=

КА-1 НО-1

-
НО-3

-
НО-3

3. 

Надання можливості своєчасного доступу зареєстрованих користувачів АС до ІзОД

 

=

НЦ-1
НТ-1
ДВ-1

НЦ-2
НТ-2
ДВ-2

НЦ-2
НТ-2
ДВ-2

4. 

Контроль цілісності КЗЗ, а у разі її порушення припиняти обробку інформації

 

=

НЦ-1

НЦ-2

НЦ-1

5. 

Забезпечення реєстрації дій всіх користувачів АС щодо обробки ІзОД

 

=

НР-2

НР-2

НР-2

Забезпечення захисту реєстраційних даних від модифікації користувачами, які не мають адміністративних повноважень

 

=

НР-2
НО-1

НР-2
НО-3

НР-2
НО-3

6.

Блокування доступу до ІзОД у разі порушення політики безпеки

 

=

НК-1
НИ-2

НК-1
НИ-2

НК-1
НИ-2

 

7.

Встановлення ступеня обмеження ІзОД під час її обробки в АС

 

+

 

 

 

8.

Встановлення адміністратором обмежень на використання ресурсів користувачами

 

=

ДР-1

ДР-1

ДР-1

 

9.

Можливість модифікації та знищення ІзОД користувачами, яким надано відповідні повноваження

 

=

ЦА-1
НИ-2

-
НИ-2

-
НИ-2

 

10

Контроль цілісності ПЗ, що забезпечує обробку ІзОД, запобігання його несанкціонованій модифікації та ліквідація наслідків такої модифікації

 

=

НТ-1
ЦО-1
ДВ-1

НТ-2
ЦО-1
ДВ-2

НТ-2
ЦО-1
ДВ-2

 

12

Забезпечення рівня гарантій реалізації ПБ

 

 

Г2

Г2

Г2

 

Здійснивши порівняльний аналіз послуг безпеки ФПЗ АС-1 та механізмів захисту ОС «Windows», можна зробити такі висновки:

- КЗЗ обох ОС «Windows» нічим не відрізняються;

- ОС «Windows» може забезпечити захист відкритої інформації лише за умов впровадження ІТЗ і ОЗ;

- для забезпечення захисту службової інформації ОС «Windows» потребує використання додаткового КЗЗ (для забезпечення послуг КА-1 і ЦА-1).

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика