14. Вимоги до захисту інформації WEB-сторінки від НСД

Основним нормативним документом з цього питання є НД ТЗІ 2.5-010-2003 «Вимоги до захисту інформації WEB-сторінки від НСД». Його вимоги є обов’язковими для виконання державними органами, Збройними Силами України та органами місцевого самоврядування, а також підприємствами, установами та організаціями (далі - установи) усіх форм власності під час захисту інформації, що належить до державних інформаційних ресурсів на WEB-сторінках (далі - сайт).

Вжиті в ньому терміни мають такі значення:
- інтернет - сукупність мереж та обчислювальних засобів, які використовують стек протоколів TCP/IP (Transport Control Protocol/Internet Protocol), спільний простір імен та адрес для забезпечення доступу до інформаційних ресурсів мережі будь-якій особі;
- провайдер - юридична або фізична особа, яка надає користувачам доступ до мережі Інтернет;
- браузер - програмне забезпечення, що надає інтерфейс для доступу до інформації сайтів та їх перегляду;
- робоча станція (клієнт мережі) - окрема ПЕОМ або віддалений термінал мережі, з яких користувачі отримують доступ до ресурсів мережі Інтернет;
- сервер - об'єкт комп'ютерної системи (програмний або програмно-апаратний засіб), що надає послуги іншим об'єктам за їх запитами;
- сайт - мережевий інформаційний ресурс, що надається користувачу у вигляді HTML-документу і має у мережі свою унікальну адресу;
- WEB-сервер - сервер, який обслуговує запити користувачів (клієнтів) згідно з протоколом HTTP (Hyper Text Transfer Protocol), забезпечує актуалізацію, збереження інформації сайту, зв’язок з іншими серверами;
- HTML-документ - файл текстової або нетекстової природи (звук, відео, зображення), створений за допомогою мови гіпертекстової розмітки HTML (Hyper Text Mark-up Language);
- посилання - адреса іншого мережевого інформаційного ресурсу у форматі URL (Universal Resource Location), який тематично, логічно або будь-яким іншим способом пов’язаний з документом, у якому це посилання визначене.

Загальні вимоги

Сайт установи може бути розміщена на власному сервері або на сервері, що є власністю провайдера. Власник сервера зобов'язаний гарантувати власнику інформації рівень захисту у відповідності до вимог цього НД ТЗІ. Функціонування сайту забезпечується ІТС, за допомогою якої здійснюється актуалізація розміщених на сайті інформаційних ресурсів та керування доступом до них.

Для забезпечення захисту інформації сайту в цій ІТС створюється КСЗІ, що є сукупністю організаційних і інженерно-технічних заходів, а також програмно-апаратних засобів, які забезпечують захист інформації.

Захист інформації на всіх етапах створення та експлуатації сайту здійснюється відповідно до розробленого установою плану захисту інформації, зміст якого визначено НД ТЗІ 1.4-001. План захисту затверджується керівником установи, а у випадку використання сервера оператора - погоджується з власником сервера.

Перелік інформації, призначеної для публічного розміщення на сайті, визначається з урахуванням вимог діючого законодавства та затверджується керівником установи, що є власником сайту. Організація робіт щодо захисту інформації та забезпечення контролю за станом її захищеності на сайті в установі здійснюється службою захисту інформації (далі - СЗІ).

У випадку користування послугами провайдера щодо розміщення, експлуатації та адміністрування сайту власник інформацїі укладає з ним договір (угоду), яким визначаються права і обов'язки сторін, умови підключення, розміщення інформації та забезпечення доступу до неї, інші питання, що вимагають урегулювання між власником інформації сайту та провайдером, виходячи з вимог законодавства у сфері захисту інформації.

Типові умови функціонування та
вимоги до захисту інформації сайту

До складу ІТС, яка забезпечує функціонування сайту, входять: ОС, фізичне середовище, в якому вона знаходиться і функціонує, середовище користувачів, оброблювана інформація, у тому числі й технологія її оброблення. Під час забезпечення захисту інформації мають бути враховані всі характеристики зазначених складових частин, які впливають на реалізацію політики безпеки сайту.

У випадку, якщо сайт містить посилання на інформаційні ресурси іншого сайту, умови функціонування останнього не повинні порушувати встановлену для даної сайту політику безпеки.

Визначаються типові умови функціонування всіх складових ІТС, вводяться обмеження до умов функціонування та встановлюються загальні вимоги із захисту інформації до окремих компонентів ІТС. Для визначеної таким чином типової схеми функціонування ІТС встановлюються можливі варіанти для вибору функціональних профілів захищеності інформації від НСД.

Інформація сайту та технологія її оброблення

Характеристика

Інформація сайту поділяється на дві категорії:
- загальнодоступна інформація;
- технологічна інформація.

До загальнодоступної інформації відноситься публічно оголошувана інформація, користуватися якою можуть будь-які фізичні або юридичні особи (користувачі інформаційних ресурсів), що мають доступ до мережі Інтернет.

До технологічної інформації сайту відноситься технологічна інформація КСЗІ та технологічна інформація щодо адміністрування та управління обчислювальною системою АС і засобами обробки інформації - дані про мережеві адреси, імена, персональні ідентифікатори та паролі користувачів, їхні повноваження та права доступу до об'єктів, інформація журналів реєстрації дій користувачів, інша інформація баз даних захисту, встановлені робочі параметри окремих механізмів або засобів захисту, інформація про профілі обладнання та режими його функціонування, робочі параметри функціонального ПЗ тощо.

Технологічна інформація призначена для використання тільки уповноваженими користувачами з числа співробітників СЗІ та персоналу, що забезпечує функціонування ІТС. Способи і методи обробки інформації сайту (зберігання, супроводження, передачі, введення, актуалізації  та використання інформації) визначають технології оброблення інформації.

Технологічні особливості роботи користувачів із загальнодоступною інформацією сайту визначаються особливостями системного та функціонального ПЗ, зокрема браузерів, які ними використовуються. Технологічні особливості роботи користувачів інших категорій визначаються, крім того, архітектурою ІТС, способами оброблення та передавання інформації між компонентами ІТС і способами здійснення доступу до неї.

Можливі такі способи здійснення доступу до технологічної інформації та передавання даних для актуалізації загальнодоступної інформації:
- з робочої станції, розміщеної на тій самій території, що і WEB-сервер (установи-власника сайту або провайдера) або з терміналу WEB-сервера;
- з робочої станції, яка розміщена на території установи-власника сайту, до WEB-сервера, що розміщений на території провайдера, з використанням мереж передачі даних.

Вимоги

КСЗІ повинна забезпечувати реалізацію вимог із захисту цілісності та доступності розміщеної на сайті загальнодоступної інформації, а також конфіденційності та цілісності технологічної інформації сайту. Технологія оброблення інформації повинна відповідати вимогам політики безпеки інформації, визначеної для ІТС, що забезпечує функціонування сайту.

Вимоги щодо забезпечення цілісності загальнодоступної інформації сайту та конфіденційності й цілісності технологічної інформації вимагають застосування технологій, що забезпечують реалізацію контрольованого і санкціонованого доступу до інформації та заборону неконтрольованої й несанкціонованої її модифікації.

Технологія оброблення інформації повинна бути здатною реалізовувати можливість виявлення спроб несанкціонованого доступу до інформації сайту та процесів, які з цією інформацією пов’язані, а також забезпечити реєстрацію в системному журналі визначених політикою відповідної послуги безпеки подій (як НСД, так і авторизованих звернень).

Для користувачів, які порушили встановлені правила розмежування доступу до сайту, засоби КСЗІ на період сеансу роботи повинні забезпечити блокування доступу до сайту. Технологічними процесами повинна бути реалізована можливість створення резервних копій інформації сайту та процедури їх відновлення з використанням резервних копій.

Технологія оброблення інформації повинна передбачати можливість аналізу використання користувачами і процесами обчислювальних ресурсів ІТС і забезпечувати керування ресурсами.

Обчислювальна система

Характеристика

Узагальнена функціонально-логічна структура обчислювальної системи ІТС включає такі підсистеми:
- обробки інформації;
- взаємодії з користувачами ІТС;
- обміну даними.

Підсистема обробки інформації забезпечує створення, зберігання, актуалізацію інформації сайту і складається із засобів обробки інформації, системного та функціонального ПЗ. До засобів обробки інформації належать WEB-сервер та необхідна кількість робочих станцій (або терміналів) для забезпечення всіх функцій щодо супроводження сайту та захисту інформації.

Підсистема взаємодії з користувачами АС забезпечує за запитами користувачів надання доступу до загальнодоступної інформації WEB-сторінки, яка має вигляд HTLM-документу, з використанням мереж передачі даних та стандартних Інтернет-протоколів. Підсистема складається, як мінімум, з програмно-апаратного комплексу, який дозволяє здійснювати маршрутизацію запитів користувачів, забезпечувати пошук необхідних користувачу інформаційних ресурсів і доступ до них. 

Підсистема обміну даними забезпечує підготовку та безпосередньо імпорт/експорт інформації в/із ІТС, а також внутрішньосистемний обмін інформацією між WEB-сервером та робочими станціями з реалізацією фаз встановлення, підтримання та завершення з’єднання.

Відповідно до політики безпеки інформації в ІТС підсистеми комплектуються засобами захисту інформації (можуть використовуватися штатні засоби захисту системного і функціонального ПЗ та/або спеціалізовані засоби), які складають компоненти КЗЗ.

Вимоги

Програмно-апаратні засоби захисту, що входять до складу КЗЗ, повинні мати належним чином оформлені документи (експертні висновки, сертифікати), які засвідчують відповідність цих засобів вимогам нормативних документів системи ТЗІ.

Встановлення на ОС нових (додаткових) компонентів, ПЗ (системного та/або функціонального), сервісів та розміщення будь-яких інших мережевих ресурсів, які не належать до категорії сайту установи, не повинно порушувати політику безпеки інформації в АС, що забезпечує функціонування сайту.

Середовище користувачів

Характеристика

За рівнем повноважень щодо доступу до інформації, характером та складом робіт, які виконуються в процесі функціонування ІТС, користувачі поділяються на такі категорії:
а) користувачі, яким надано право доступу тільки до загальнодоступної інформації сайту;
б) користувачі, яким надано повноваження супроводжувати КСЗІ та забезпечувати керування ІТС (адміністратор безпеки, інші співробітники СЗІ, користувачі з функціональними обов'язками WEB-майстрів, адміністраторів сервісів, адміністраторів мережевого обладнання, адміністраторів ресурсів DNS (Domain Name System), FTP (File Transfer Protocol) тощо, якщо передбачається їх взаємодія з сайтом, тощо);
в) технічний обслуговуючий персонал, що забезпечує належні умови функціонування ІТС, повсякденну підтримку життєдіяльності фізичного середовища (електрики, технічний персонал з обслуговування приміщень будівель, ліній зв'язку тощо);
г) розробники ПЗ, які здійснюють розробку та впровадження нових функціональних процесів, а також супроводження вже діючого функціонального ПЗ сервера, розробники та проектанти фізичної структури ІТС;
д) постачальники обладнання і технічних засобів та фахівці, що здійснюють його монтаж, поточне гарантійне й післягарантійне обслуговування.

Вимоги

Користувачі, яким надано повноваження супроводжувати КСЗІ та забезпечувати управління АС, повинні володіти навиками обслуговування засобів захисту інформації та використання технічних і програмних засобів, що застосовуються ними під час виконання своїх службових і функціональних обов'язків.

Техперсонал повинен мати належний рівень кваліфікації для виконання своїх службових та функціональних обов'язків у відповідності до визначених в установі технологічних процесів та режимів експлуатації обладнання. Доступ до інформації сайту повинен надаватися користувачам у відповідності до положень політики безпеки інформації, визначеної для ІТС, що забезпечує функціонування сайту.

Порядок доступу до ПЗ та компонентів ІТС користувачів різних категорій розробляється СЗІ й затверджується керівником установи. Обов'язковою є реєстрація в ІТС користувачів, що належать до категорії адміністраторів, чим забезпечується можливість однозначного їх ідентифікування, а також їхніх дій щодо інформації сайту.

Для встановлення правил та регламентації доступу цих користувачів до інформації WEB-сторінки СЗІ розробляються та впроваджуються нормативні та розпорядчі документи, передбачені планом захисту інформації.

Техперсонал, розробники та постачальники можуть мати доступ до програмних та апаратних засобів ІТС лише під час робіт із тестування й інсталяції ПЗ, встановлення і регламентного обслуговування обладнання тощо, за умови обмеження їхнього доступу до технологічної інформації КСЗІ.

Зазначені категорії осіб повинні мати дозвіл на доступ до відомостей, які містяться в програмній і технічній документації на ІТС або окремі її компоненти, і необхідні їм для виконання функціональних обов'язків. Користувачі загальнодоступної інформації одержують доступ до сайту у відповідності до діючих у мережі Інтернет правил та регламенту.

Фізичне середовище

Фізичне середовище, що призначене для розміщення, експлуатації, адміністрування сайту установи, включає:
- приміщення, в яких розташовані сервер і робочі станції з усіма компонентами (ОС, сховища для носіїв інформації та документації, робочі місця обслуговуючого персоналу тощо);
- засоби енергопостачання, заземлення, життєзабезпечення та сигналізації приміщення;
- допоміжні технічні засоби та засоби зв'язку.

Приміщення, де розміщуються компоненти ОС, повинні знаходитися на контрольованій території і мати охорону. Доступ до цих приміщень дозволяється тільки особам, що належать до категорій «б» і «в» - без обмежень, а до категорій «г» і «д» - за необхідністю.

Доступ здійснюється у порядку, визначеному СЗІ та затвердженому власником сайту, або у відповідності до умов, передбачених договором (угодою) між власником сайту та провайдером. Вимоги до засобів енергопостачання, заземлення, життєзабезпечення, сигналізації приміщення та допоміжних технічних засобів і засобів зв’язку не висуваються.

Політика послуг безпеки ФПЗ сайту

Склад та вимоги до ФПЗ сайту

Політика безпеки інформації в ІТС повинна поширюватися на об'єкти комп'ютерної системи, які безпосередньо чи опосередковано впливають на безпеку інформації.

До таких об’єктів належать:
- адміністратор безпеки та співробітники СЗІ;
- користувачі, яким надано повноваження забезпечувати управління ІТС;
- користувачі, яким надано право доступу до загальнодоступної інформації;
- інформаційні об’єкти, що містять загальнодоступну інформацію;
- системне та функціональне ПЗ, яке використовується в ІТС для оброблення інформації або для забезпечення функцій КЗЗ;
- технологічна інформація КСЗІ (дані про мережеві адреси, імена, персональні ідентифікатори та паролі користувачів, їхні повноваження та права доступу до об'єктів, встановлені робочі параметри окремих механізмів або засобів захисту, інша інформація баз даних захисту, інформація журналів реєстрації дій користувачів тощо);
- засоби адміністрування і управління обчислювальною системою ІТС та технологічна інформація, яка при цьому використовується;
- обчислювальні ресурси ІТС (наприклад, дисковий простір, тривалість сеансу роботи користувача із засобами ІТС, час використання центрального процесора тощо), безконтрольне використання або захоплення яких окремим користувачем може призвести до блокування роботи інших користувачів, компонентів ІТС або ІТС в цілому.

З урахуванням особливостей надання доступу до інформації сайту, типових характеристик середовищ функціонування та особливостей технологічних процесів оброблення інформації, можна визначити 2 виду технології:
- технологія Т1 - WEB-сервер і робочі станції розміщуються на території установи-власника сайту або на території провайдера,
- технологія Т2 - WEB-сервер розміщується у оператора, а робочі станції - на території власника WEB-сторінки, взаємодія яких з WEB-сервером здійснюється з використанням мереж передачі даних.

Згідно визначених технологій визначаються такі мінімально необхідні рівні послуг безпеки для забезпечення захисту інформації від загроз:

ФПЗ (Т1) = КА-2, ЦА-1, ЦО-1, ДВ-1, ДР-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1;

ФПЗ (Т2) = КА-2, КВ-1, ЦА-1, ЦО-1, ЦВ-1, ДВ-1, ДР-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1, НВ-1.

Технологія Т1 різниться від Т2 способом передачі інформації від робочої станції до WEB-сервера, а саме: наявністю у другому випадку незахищеного середовища, яке не контролюється, і додатковими вимогами щодо ідентифікації та автентифікації між КЗЗ робочої станції та КЗЗ WEB-сервера під час спроби розпочати обмін інформацією та забезпечення цілісності інформації при обміні.

За власником сайту залишається право реалізації, у разі необхідності, окремих послуг безпеки інформації зазначених профілів з більш високим рівнем, доповнення цих профілів іншими послугами, а також реалізація послуг безпеки з більш високим рівнем гарантій.

У випадках, коли в ІТС вимоги до політики реалізації якоїсь з послуг безпеки забезпечуються організаційними або іншими заходами захисту, які в повному обсязі відповідають встановленим НД ТЗІ 2.5-004 специфікаціям для певного рівня послуги безпеки, то рівень такої послуги, що входить до визначених ФПЗ, може бути знижений на відповідну величину.

Оскільки технологія Т2 найбільш типова, порівняємо наявність послуг безпеки ФПЗ (Т2) та механізмів захисту ОС «OpenBSD, шифр BBOS» і «Windows Server 2012 R2 Enterprise Edition SP1», які призначені для серверів ІТС.

Загальні вимоги щодо захисту сайту

ФПЗ (Т2)

Windows Server 2012 R2

OpenBSD шифр «BBOS»

1.

Захист технологічної інформації сайту від несанкціонованого ознайомлення

КА-2

ДВ-1

-
ДВ-2

КА-2
ДВ-2

2.

Захист загальнодоступної інформації сайту від несанкціонованої модифікації

ЦА-1

-

ЦА-1

3.

Надання доступу до технологічної інформації за умови достовірного розпізнавання користувачів ІТС

НК-1
НИ-2

НК-1
НИ-2

НК-1
НИ-2

з урахуванням наданих згідно з службовою необхідністю повноважень

КА-2
НО-1

-
НО-3

КА-2
НО-1

4.

Надання можливості своєчасного доступу користувачів до загальнодоступної інформації сайту

НЦ-1
НТ-1
ДВ-1

НЦ-2
НТ-2
ДВ-1

НЦ-1
НТ-2
ДВ-2

5.

Контроль цілісності КЗЗ, а у разі її порушення заборона доступу до сайту

НЦ-1

НЦ-2

НЦ-1

6.

Забезпечення реєстрації всіх подій, які мають безпосереднє відношення до безпеки сайту

НР-2

НР-2

НР-2

Забезпечення захисту реєстраційних даних від модифікації користувачами, які не мають адміністративних повноважень

НР-2
НО-1

НР-2
НО-3

НР-2
НО-1

7.

Блокування доступу до технологічної інформації у разі порушення політики безпеки сайту

НК-1
НИ-2

НК-1
НИ-2

НК-1
НИ-2

8.

Можливість модифікації інформації сайту користувачами, яким надано відповідні повноваження

ЦА-1
НИ-2

-
НИ-2

ЦА-1
НИ-2

9.

Контроль цілісності ПЗ, що забезпечує функціонування сайту, запобігання його несанкціонованій модифікації та ліквідація наслідків такої модифікації

НТ-1
ЦО-1
ДВ-1

НТ-2
ЦО-1
ДВ-2

НТ-2
ЦО-1
ДВ-2

10.

Встановлення адміністратором обмежень на використання ресурсів користувачами

ДР-1

ДР-1

ДР-2

11.

Доступність сайту в цілому або окремих його об'єктів і процесів після відмови якогось компонента ІТС

ДС-1

-

ДС-2

12.

Захист каналу взаємодії між компонентами КЗЗ WEB-сервера і робочої станції під час обміну інформації

КВ-1
ЦВ-1
НВ-1

КВ-1
ЦВ-1
НВ-1

КВ-2
ЦВ-1
НВ-1

13.

Забезпечення рівня гарантій реалізації ПБ

Г2

Г2

Г2

Здійснивши порівняльний аналіз послуг безпеки ФПЗ (Т2) та механізмів захисту ОС «OpenBSD, шифр BBOS» і «Windows Server 2008 R2 Datacenter», можна зробити такі висновки:

- КЗЗ ОС «OpenBSD, шифр BBOS» може забезпечити обрану політику безпеки ФПЗ без використання додаткового КЗЗ;
- КЗЗ ОС «Windows» може забезпечити обрану політику безпеки ФПЗ тільки з використанням додаткового КЗЗ (для забезпечення послуг КА-2 і ЦА-1).

Особливості підключення до Інтернет державних органів

Процедура підключення до глобальних мереж передачі даних (зокрема, Інтернет) органів виконавчої влади, інших державних органів, підприємств, установ та організацій, які одержують, обробляють, поширюють і зберігають інформацію, що є об'єктом державної власності та охороняється згідно законодавства, визначається «Порядком підключення до глобальних мереж передачі даних», затвердженим постановою Кабінету Міністрів України від 12.04.2002 № 522:

4. Для підключення до глобальних мереж:
- органи виконавчої влади та інші державні органи зобов'язані зареєструвати свій домен у домені GOV.UA;
- інші абоненти зобов'язані зареєструвати свій домен у домені нижчого рівня домену UA;
- абоненти повинні зареєструвати хоча б одну офіційну адресу електронної пошти на сервері оператора або на власному сервері.

5. Адреси Веб-серверів, окремих веб-сайтів та електронної пошти абонентів повинні відповідати назвам їх доменів.

7. Локальні обчислювальні мережі, а також окремі електронні обчислювальні машини, на яких обробляють або зберігають інформацію з обмеженим доступом, що є об'єктом державної власності і охороняється згідно із законодавством, забороняється підключати до глобальних мереж.

Реєстрація органами виконавчої влади та іншими державними органами свого домену у домені GOV.UA здійснюється згідно вимог «Правил домену GOV.UA», з якими можна ознайомитись тут.

Адміністративні питання, пов'язані з веденням домену GOV.UA вирішує Адміністратор домену GOV.UA або інші уповноважені ним особи.

Делегування доменних імен у домені GOV.UA здійснюється на підставі офіційного листа на ім'я Адміністратора домену GOV.UA, виконаного на офіційному бланку організації-замовника з печаткою організації та за підписом керівника установи чи організації.

Вимоги до реалізації послуг безпеки

Послуги конфіденційності

Базова адміністративна конфіденційність КА-2

Ця послуга дозволяє адміністратору безпеки керувати потоками інформації від захищених об'єктів до користувачів. Ця політика стосується:
- користувачів усіх категорій, крім тих, яким надано право доступу тільки до загальнодоступної інформації сайту;
- об'єктів, що містять технологічну інформацію КСЗІ та технологічну інформацію щодо управління ІТС;
- системного та функціонального програмного забезпечення, що використовується для актуалізації, захисту загальнодоступної  інформації та супроводження сайту;
- доступу користувачів до окремих видів периферійних пристроїв (принтерів, накопичувачів інформації тощо), використання яких передбачено технологією обробки інформації.

КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу користувача і захищеного об'єкта. Доступ до загальнодоступної інформації встановлюється для користувачів усіх категорій. Призначення атрибутів доступу користувачам і процесам до захищених об'єктів здійснюється адміністратором безпеки на основі аналізу функціональних та службових обов'язків окремих користувачів.

КЗЗ повинен надавати тільки адміністратору безпеки права доступу до технологічної інформації КСЗІ та процесів, що забезпечують її актуалізацію, супроводження та аналіз. Доступ до процесів, що забезпечують ведення системних процесів з адміністрування й забезпечення функціонування ІТС в цілому, окремих її компонентів та сервісів, а також до технологічної інформації щодо управління ІТС повинен надаватись тільки користувачам, які мають відповідні повноваження.

Запити на зміну прав доступу повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністратора безпеки. Права доступу до кожного захищеного об'єкта, визначеного політикою безпеки послуги, повинні встановлюватися в момент його створення або ініціалізації.

Мінімальна конфіденційність при обміні КВ-1

Ця послуга дозволяє забезпечити захист об'єктів від несанкціонованого ознайомлення з інформацією, що міститься в них, під час їх експорту/імпорту через незахищене середовище.

Політика мінімальної конфіденційності при обміні стосується: користувачів, яким надано право супроводження КСЗІ та управління ІТС; об'єктів, які містять технологічну інформацію КСЗІ та технологічну інформацію щодо управління ІТС під час її передавання між віддаленими компонентами ІТС.

КЗЗ повинен забезпечувати захист від безпосереднього ознайомлення з інформацією, що міститься в об'єкті, який передається. КЗЗ повинен забезпечувати можливість реєстрації подій, які призвели або можуть призвести до порушення конфіденційності інформації, що міститься в об'єктах, які передаються.

Послуги цілісності

Мінімальна адміністративна цілісність ЦА-1

Ця послуга дозволяє керувати потоками інформації від користувачів до захищених об'єктів сайту.

Політика мінімальної адміністративної цілісності стосується: користувачів усіх категорій; загальнодоступної інформації сайту; файлової системи та функціонального ПЗ, що використовується для актуалізації, захисту загальнодоступної інформації та супроводження сайту; створеної в процесі супроводження сайту технологічної інформації КСЗІ та технологічної інформації щодо управління ІТС.

КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу користувачів і захищених об'єктів. Розмежування доступу здійснюється на рівні надання (встановлення заборони) користувачеві прав модифікувати об'єкт. Право визначати множину об'єктів ІТС, цілісність яких забезпечується КЗЗ, надається адміністратору безпеки.

КЗЗ повинен надавати можливість адміністратору безпеки для кожного захищеного об'єкта визначити домен, якому повинні належати ті користувачі і/або групи користувачів, що мають право модифікувати об'єкт. Тільки йому надається право включати і вилучати користувачів та об'єкти до/з конкретних доменів.

Призначення атрибутів доступу користувачам і процесам до захищених об'єктів та запити на зміну цих прав повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністратора безпеки. Користувачам, які мають доступ тільки до загальнодоступної інформації сайту, забороняється модифікувати будь-які захищені об'єкти.

Адміністратору безпеки надається право модифікувати функціональне ПЗ, що використовується для захисту загальнодоступної інформації, та технологічну інформацію КСЗІ. Користувачам, що мають повноваження щодо управління ІТС, надається відповідно до функціональних обов’язків право модифікувати технологічну інформацію та функціональне ПЗ, що використовується для актуалізації загальнодоступної інформації та супроводження сайту.

Права доступу до захищених об'єктів сайту повинні встановлюватися в момент їх створення або ініціалізації.

Мінімальна цілісність при обміні ЦВ-1

Ця послуга дозволяє забезпечити захист сайту від несанкціонованої модифікації інформації, яка передається між WEB-сервером та робочими станціями у разі використання технології Т2, під час експорту/імпорту інформації через незахищене середовище. Політика послуги стосується всіх об'єктів, що передаються.

КЗЗ повинен забезпечувати контроль за цілісністю інформації в повідомленнях, які передаються, а також бути здатним виявляти факти їх несанкціонованого видалення або дублювання. КЗЗ повинен забезпечувати можливість реєстрації подій, які призвели до порушення цілісності повідомлень, їх несанкціонованого видалення або дублювання.

Обмежений відкат ЦО-1

Ця послуга забезпечує можливість відмінити окрему операцію або послідовність операцій і повернути захищений об'єкт після внесення до нього змін до попереднього наперед визначеного стану.

Політика обмеженого відкату стосується користувачів, яким надано право супроводження КСЗІ та управління ІТС; об'єктів, які містять публічну інформацію; функціонального програмного забезпечення, що використовується для актуалізації, захисту публічної інформації та супроводження сайту; створеної в процесі супроводження сайту технологічної інформації КСЗІ та технологічної інформації щодо управління ІТС. Якщо стосовно якогось з об’єктів зазначених категорій в процесі обробки не передбачається можливості його модифікації, політика послуги на нього не розповсюджується.

До складу ІТС повинні входити автоматизовані засоби, які дозволяють адміністратору безпеки, співробітнику СЗІ, користувачу, який має повноваження щодо управління ІТС, відкатити або відмінити певний набір (множину) операцій, виконаних над захищеним об'єктом сайту за певний проміжок часу.

Факт використання послуги має реєструватись в системному журналі. Відміна операції не повинна призводити до видалення з журналу запису про операцію, яка пізніше була відмінена, якщо остання підлягала реєстрації відповідно до вимог послуги безпеки НР-2.

Послуги доступності

Квота ДР-1

Ця послуга дозволяє керувати використанням користувачами послуг та ресурсів.

Політика використання ресурсів, що реалізується КЗЗ, стосується: користувачів загальнодоступної інформації; адміністратора безпеки та користувачів, яким надано повноваження щодо управління ІТС; файлової системи; системного та функціонального програмного забезпечення; технологічної інформації щодо управління ІТС; окремих периферійних пристроїв (принтерів, накопичувачів інформації тощо); обчислювальних ресурсів ІТС і передбачає можливість встановлення обмежень на їх використання.

Обмеження щодо використання окремим користувачем та/або процесом обсягів обчислювальних ресурсів ІТС або кількості об'єктів встановлюються адміністратором безпеки або користувачами, яким надано повноваження щодо управління ІТС. Запити на зміну встановлених обмежень повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від зазначених користувачів. Спроби користувачів перевищити встановлені обмеження на використання ресурсів повинні реєструватися в системному журналі.

Ручне відновлення ДВ-1

Політика відновлення після збоїв, що реалізується КЗЗ, стосується: системного та функціонального програмного забезпечення; засобів захисту інформації та засобів управління КСЗІ; засобів адміністрування та управління обчислювальною системою ІТС - і гарантує повернення ІТС у відомий захищений стан після відмов або переривання обслуговування, спричинених помилковими діями користувачів, неврахованою функціональною недостатністю програмного та апаратного забезпечення (наприклад, можливою наявністю не виявлених під час проектування незадекларованих функцій), іншими непередбачуваними ситуаціями.

Політика відновлення, яка реалізується КЗЗ, повинна визначати множину типів відмов сайту і переривань обслуговування, після яких можливе повернення у відомий захищений стан без порушення політики безпеки. Для кожної з відмов повинні бути чітко визначені і задокументовані рівні відмов, у разі перевищення яких необхідна повторна інсталяція сайту.

Після відмови сайту або переривання обслуговування, КЗЗ повинен перевести сайту до стану, з якого повернути її в режим нормального функціонування може тільки адміністратор безпеки і користувачі, які мають повноваження щодо управління ІТС. Для кожного з них повинна бути визначена множина допустимих виконуваних ними операцій з метою повернення ІТС у відомий захищений стан.

Повернення ІТС з режиму, що визначається погіршеними характеристиками обслуговування, в режим нормального функціонування повинно здійснюватися за допомогою ручних (не автоматизованих) процедур.

Послуги спостережності

Захищений журнал НР-2

Послуга дозволяє контролювати небезпечні відповідно до політики безпеки сайту дії користувачів всіх категорій із захищеними об'єктами. Політика реєстрації стосується: користувачів усіх категорій; публічної інформації сайту; системного та функціонального програмного забезпечення, що використовується для актуалізації, захисту публічної інформації та супроводження сайту; створеної в процесі супроводження сайту технологічної інформації КСЗІ та технологічної інформації щодо управління ІТС.

КЗЗ повинен забезпечувати реєстрацію всіх подій, які мають безпосереднє відношення до безпеки. До них відносяться наступні класи подій:
- вхід/вихід або намагання входу/виходу в/із системи користувачами будь-яких категорій;
- реєстрація та видалення або намагання реєстрації та видалення користувачів будь-якої категорії в системі;
- зміна атрибутів доступу користувачем будь-якої категорії та дії, що призвели до цього;
- отримання або намагання отримання доступу користувачем будь-якої категорії до будь-яких захищених процесів і об'єктів ІТС;
- створення користувачем будь-якої категорії твердих копій та виведення їх на друкуючі пристрої;
- модифікація або спроби модифікації захищених процесів і об'єктів ІТС, у тому числі факти та спроби порушення цілісності КЗЗ;
- спроби використання обчислювальних ресурсів ІТС з перевищенням встановлених квот;
- інші події, обов'язковість реєстрації яких передбачена політикою реалізації окремих послуг безпеки інформації.

КЗЗ повинен надавати можливість визначення переліку реєстраційних подій виключно адміністратору безпеки.

Реєстрація всіх подій, що мають безпосереднє відношення до безпеки, здійснюється в журналі реєстрації, який повинен містити інформацію стосовно дати, часу, місця, типу і наслідків зареєстрованої події (успішність/неуспішність), ім'я (ІР-адресу) та/або ідентифікатор причетного до цієї події користувача. Реєстраційна інформація повинна бути достатньою для однозначної ідентификації користувача, процесу і/або об'єкта, що мали відношення до кожної зареєстрованої події.

КЗЗ повинен мати механізми захисту для гарантування безпечної передачі інформації журналу реєстрації на віддалену робочу станцію адміністратора безпеки сайту (для технології Т2).

Адміністратор безпеки і користувачі, яким надано повноваження щодо управління ІТС, повинні мати засоби перегляду та аналізу журналу реєстрації, а КЗЗ повинен забезпечувати захист журналу реєстрації від несанкціонованого доступу, модифікації або руйнування.

Одиночна ідентифікація та автентифікація НИ-2

Ідентифікація і автентифікація дозволяють КЗЗ визначити і перевірити особу суб'єкта, що намагається одержати доступ до захищених об'єктів сайту.

Політика ідентифікації і автентифікації стосується: всіх користувачів сайту, які намагаються одержати доступ до системного та функціонального програмного забезпечення, що використовується для актуалізації, захисту публічної інформації та супроводження сайту; створеної в процесі супроводження сайту технологічної інформації КСЗІ та технологічної інформації щодо управління АС; задіяного для цього периферійного обладнання.

КЗЗ повинен однозначно ідентифікувати категорії користувачів сайту і за атрибутами кожної з цих категорій визначати послуги, що їм доступні. Ідентифікація здійснюється на підставі особистого імені та/або ІР-адреси користувача. КЗЗ повинен автентифікувати адміністратора сайту, співробітників СЗІ та користувачів, які мають повноваження щодо управління АС, з використанням захищеного механізму на підставі особистого пароля.

Автентифікація користувачів, що мають виключне право доступу тільки до публічної інформації, не здійснюється. Дозвіл на виконання будь-яких дій з інформацією та обладнанням сайту, що контролюються КЗЗ, надається користувачу тільки після успішного завершення процедур ідентифікації та/або автентифікації його КЗЗ відповідно до категорії користувача. КЗЗ повинен забезпечувати захист даних автентифікації від несанкціонованого доступу, модифікації або руйнування.

Автентифікація вузла НВ-1

Ця послуга дозволяє у разі використання технології Т2 компонентам КЗЗ WEB-сервера і віддаленої робочої станції здійснити взаємну ідентифікацію, перш ніж розпочати взаємодію. Послуга ідентифікації і автентифікації при обміні стосується адміністратора безпеки та користувачів, яким надані повноваження щодо супроводження сайту, технологічної інформації КСЗІ.

КЗЗ повинен надавати доступ до процесів, що забезпечують ініціалізацію обміну даними, тільки адміністратору безпеки і користувачам, яким надано повноваження щодо супроводження сайту. Обмін інформацією між компонентами КЗЗ повинен здійснюватися тільки після ідентифікації і автентифікації КЗЗ-відправником КЗЗ-отримувача інформації. Результати процедури ідентифікації і автентифікації є дійсними протягом всього сеансу обміну (незалежно від кількості об'єктів, що експортуються) і втрачають свою силу після його закінчення.

Процедура ідентифікації і автентифікація компонентів КЗЗ повинна здійснюватися на підставі їхніх імен, ІР-адрес і паролів. Підтвердження ідентичності має виконуватися на підставі затвердженого в ІТС протоколу автентифікації.

Однонаправлений достовірний канал НК-1

Ця послуга повинна гарантувати користувачу будь-якої категорії можливість безпосередньої взаємодії з КЗЗ, а також те, що ніяка взаємодія користувача з ІТС не може бути модифікованою іншим користувачем або процесом. Послуга визначає вимоги до механізму встановлення достовірного зв'язку між користувачем і КЗЗ.

Політика достовірного каналу стосується користувачів усіх категорій та компонентів системного та функціонального програмного забезпечення, які задіяні для реалізації механізмів КЗЗ. Достовірний канал повинен використовуватися для початкової ідентифікації і автентифікації. Зв'язок з використанням даного каналу повинен ініціюватися виключно користувачем.

Виділення адміністратора НО-1

Ця послуга дозволяє розмежувати повноваження користувачів, визначивши категорії користувачів з певними і притаманними для кожної з категорій функціями (ролі). Послуга призначена для зменшення потенційних збитків від навмисних або помилкових дій користувачів і обмеження авторитарності керування ІТС.

Політика розподілу обов'язків, що реалізується КЗЗ, стосується користувачів усіх категорій і повинна визначати щонайменше такі ролі:
- адміністратора безпеки;
- користувачів, яким надано право доступу до певних видів інформації (публічної, технологічної, системного та функціонального ПЗ).

Кількість користувачів, які мають доступ до технологічної інформації та системного і функціонального ПЗ повинна бути мінімізована, щоб обмежити їх коло тільки тими, кому необхідний такий доступ для виконання функціональних обов'язків, що передбачаються експлуатаційною та розпорядчою документацією на сайті.

Адміністратору безпеки дозволяється доступ до всієї інформації сайту. У разі необхідності його роль може дублюватися уповноваженим співробітником СЗІ. Повноваження всіх інших користувачів щодо доступу до інформації надаються їм адміністратором безпеки. КЗЗ повинен присвоїти користувачу атрибути, якими однозначно характеризується надана йому роль. Користувач може виступати в певній ролі тільки після того, як він виконає дії, що підтверджують прийняття ним цієї ролі.

КЗЗ з контролем цілісності НЦ-1

Ця послуга визначає міру здатності КЗЗ сайту захищати себе і гарантувати свою спроможність керувати захищеними об'єктами. Політика цілісності КЗЗ повинна визначати склад КЗЗ, механізми контролю цілісності його компонентів та порядок їх використання.

Політика цілісності КЗЗ стосується: адміністратора безпеки; окремих компонентів системного та функціонального програмного забезпечення, які задіяні для реалізації механізмів КЗЗ; засобів захисту інформації, а також технологічної інформації КСЗІ - і забезпечує взаємодію зазначених об'єктів.

Політика реалізації послуги повинна гарантувати, що всі послуги безпеки доступні тільки через інтерфейс КЗЗ і всі запити на доступ до захищених об'єктів контролюються КЗЗ. Якщо існують обмеження, недотримання яких може призвести до надання послуг в обхід інтерфейсу КЗЗ і порушення цілісності КЗЗ, то такі обмеження повинні бути описані і задокументовані. До користувачів має бути доведено порядок їх роботи з дотриманням цих обмежень, а КЗЗ повинен надавати адміністратору можливість здійснення контролю за цим порядком.

КЗЗ повинен повідомляти адміністратора безпеки про порушення цілісності будь-якого компонента КЗЗ. Сайт під час цього має бути переведений до стану, в якому доступ до неї користувачів, крім адміністратора безпеки, заборонено. Повернення до нормального режиму функціонування може бути здійснено тільки адміністратором після відновлення відповідності цього компонента еталону.

Самотестування за запитом НТ-1

Самотестування дозволяє КЗЗ перевірити і на підставі цього гарантувати правильність функціонування і цілісність певної множини функцій захисту сайту. Політика самотестування поширюється на адміністратора безпеки, компоненти системного та функціонального програмного забезпечення, які задіяні для реалізації механізмів КЗЗ, засоби захисту інформації.

До складу КЗЗ повинна входити множина тестових процедур, яка враховує особливості функціонування компонентів конкретної сайту і достатня для оцінки правильності виконання всіх критичних для безпеки публічної та технологічної інформації КСЗІ функцій, а сам КЗЗ повинен бути здатним контролювати їх виконання.

У разі некоректного виконання якогось із тестів КЗЗ повинен перевести ІТС до стану, коли забороняється надання користувачам доступу до сайту, або до стану, коли забороняється надання доступу до інформації з використанням функцій, для яких тест не було виконано. Повернути АС до нормального функціонування може тільки адміністратор безпеки після відновлення працездатності КЗЗ і повторного виконання повного набору тестів.

КЗЗ повинен забезпечувати виконання тестів за запитом адміністратора безпеки. КЗЗ повинен забезпечувати відповідність набору тестів (неможливість будь-якої модифікації) версії КЗЗ. Зміна тестів можлива лише у процесі інсталяції нової версії КЗЗ.

Вимоги до реалізації критеріїв гарантій

Гарантії реалізації послуг безпеки повинні відповідати рівню Г2 у відповідності до вимог НД ТЗІ 2.5-004. Критерії гарантій включають вимоги до архітектури КЗЗ, середовища розробки, послідовності розробки, середовища функціонування, документації, випробувань КЗЗ.

Архітектура

Програмне забезпечення, призначене для реалізації КЗЗ, повинне, як правило, будуватися за модульним принципом.

Склад послуг безпеки, а також механізмів захисту, що реалізують кожну з послуг, визначається політикою безпеки інформації в ІТС і повинен відповідати її вимогам. Якщо не всі вимоги політики безпеки реалізуються КЗЗ, то вони повинні підтримуватися організаційними та іншими заходами захисту КСЗІ. У складі КЗЗ не повинні міститися послуги та використовуватися засоби, які мають не передбачені політикою безпеки функції. Використання таких засобів можливе за умови вилучення цих функцій або гарантування неможливості їх активізації.

Мають бути описані особливості архітектури компонентів КСЗІ та їх призначення. Стиль опису – неформалізований, вимоги щодо детального опису не висуваються.

Середовище розробки

Мають бути визначені всі стадії та етапи життєвого циклу ІТС, а для кожної стадії та етапу - перелік і обсяги необхідних робіт та порядок їх виконання. Всі стадії та етапи робіт повинні бути задокументовані. Види та зміст документів встановлено державними стандартами.

На всіх стадіях життєвого циклу повинні існувати процедури керування конфігурацією ІТС. Ці процедури повинні визначати технологію відслідковування та внесення змін в апаратне та програмне забезпечення КСЗІ, тестове покриття і документацію та гарантувати, що без дотримання цієї технології ніякі зміни не можуть бути внесені. Технологія відслідковування та внесення змін повинна гарантувати постійну відповідність між документацією і реалізацією поточної версії КЗЗ.

Послідовність розробки

Для всіх стадій життєвого циклу ІТС повинні бути розроблені функціональні специфікації КСЗІ.

На підготовчому етапі створення КСЗІ має бути виконане обстеження середовищ функціонування ІТС, в результаті якого визначаються об’єкти захисту, здійснюється класифікація інформації та розробляється модель загроз для інформації і концепція політики безпеки інформації в ІТС. На підставі цих даних мають бути сформульовані функціональні специфікації вимог із захисту інформації в ІТС. Ці специфікації мають бути викладені в окремому розділі в технічному завданні на створення ІТС або окремому технічному завданні на створення КСЗІ.

Функціональні специфікації політики безпеки і моделі політики безпеки повинні містити перелік і опис послуг безпеки, що надаються КЗЗ, а також правила розмежування доступу до захищених об'єктів ІТС.

Функціональні специфікації проекту архітектури КСЗІ повинні містити модель захисту (ескізний проект), де враховані всі суттєві загрози і для кожної з них визначено можливі варіанти їх блокування (попередження) за допомогою КЗЗ або організаційними чи іншими заходами захисту. Якщо існує неоднозначність, повинні надаватися додаткові аргументи на користь вибору того чи іншого варіанту.

Функціональні специфікації детального проекту КСЗІ повинні містити принципи побудови, функціональні можливості, опис функціонування кожного механізму захисту та взаємодії механізмів між собою у складі КЗЗ. Повинні бути розроблені документи, що регламентують використання засобів КЗЗ, а також організаційних та інших заходів захисту, які входять до КСЗІ. Як реалізація детального проекту може розглядатися технічний, робочий або техноробочий проекти.

Функціональні специфікації всіх рівнів надаються в описовому (неформалізованому) вигляді. Має бути підтверджена (показана) відповідність специфікацій КСЗІ всіх рівнів. Формальних доказів відповідності не вимагається. Таким підтвердженням може бути дотримання власником ІТС і суб’єктами господарювання, які беруть участь у створенні ІТС і КСЗІ, встановленого нормативними документами із захисту інформації порядку.

Наприклад, підтвердженням відповідності між специфікаціями КСЗІ різних рівнів деталізації може бути узгодження в установленому порядку відповідних документів (моделі загроз, технічного завдання, технічного проекту тощо), висновок приймальної комісії щодо цього під час випробувань КСЗІ або окремих її компонентів, результати контролю за виконаними роботами на етапах створення ІТС з боку системи якості виробництвом, якщо у власника та розробників АС така система впроваджена та ін.

Окремі етапи робіт повинні бути задокументовані відповідно до вимог НД ТЗІ 1.4-001 у вигляді окремих розділів плану захисту інформації в АС або вимог інших нормативно-правових актів і нормативних документів з ТЗІ.

Середовище функціонування

Повинні існувати засоби інсталяції, генерації і запуску КЗЗ, які гарантують, що експлуатація ІТС починається з безпечного стану, а також існувати документи (інструкції), які регламентують порядок керування цими процедурами. Якщо можливі різні варіанти конфігурації КЗЗ, то всі вони повинні бути описані в інструкціях.

Документація

Документація на КЗЗ у вигляді окремих документів або розділів інших документів повинна містити опис послуг безпеки, що реалізуються КЗЗ, а також настанови для різних категорій користувачів (адміністратора безпеки, адміністратора баз даних, адміністратора сервісів, звичайного користувача тощо) стосовно використання послуг безпеки.

Вимоги до складу і змісту документації на інші компоненти КСЗІ, організаційні або інші заходи захисту визначаються технічним завданням на створення КСЗІ.

Випробування

Випробування КЗЗ можуть проводитись як самостійно, так і у складі КСЗІ. Для проведення випробувань розробник КЗЗ повинен підготувати програму і методику випробувань, розробити процедури (тести) випробувань усіх механізмів, що реалізують послуги безпеки.

Розробник КЗЗ повинен надати докази тестування у вигляді детального переліку результатів тестів і відповідних процедур тестування, з тим, щоб отримані результати могли бути перевірені шляхом повторення тестування. Розробник КЗЗ повинен усунути або нейтралізувати всі знайдені «слабкі місця» і виконати повторне тестування КЗЗ для підтвердження того, що виявлені недоліки були усунені і не з'явилися нові «слабкі місця».

Програма і методика випробувань КЗЗ, тестове покриття, результати випробувань КЗЗ входять до складу обов'язкового комплекту документації, яка надається організатору експертизи під час проведення державної експертизи КСЗІ в ІТС.

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика