Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Цифровий підпис






Існує безліч алгоритмів цифрового підпису, які базуються на сис­темах з відкритими ключами. Закритий ключ призначений для під­пису документів, а відкритий - для перевірки підпису. Іноді процес підпису називають шифруванням із закритим ключем, а процес перевірки підпису - розшифруванням з відкритим ключем. За та­ким принципом працює алгоритм RSA, а в інших - інші реалізації. Наприклад, використання односпрямованих хеш-функції і міток ча­су іноді приводить до появи додаткових етапів під час підписання і перевірці підпису. Багато алгоритмів можна використовувати для цифрового підпису, але не можна для шифрування.

Рядок бітів, приєднаний до документа після його підписання (у попередньому прикладі, значення однонаправленої хеш-функції до­кумента, зашифроване закритим ключем), будемо називати цифро­вим підписом чи просто підписом. Весь протокол, за допомогою якого одержувач повідомлення перевіряє особистість про відправ­ника і цілісність повідомлення, називається посвідченням дійсності.

Використання цифрових підписів. Одним із самих ранніх за­пропонованих застосувань цифрових підписів було спрощення пере­вірки дотримання договорів про ядерні випробування. Сполучені Штати і Радянський Союз дозволили один одному розмістити на чужій території сейсмографи для спостереження за ядерними випро-

буваннями. Проблема була в тому, що кожна зі сторін повинна бути упевненою, що інша сторона не підробила дані цих сейсмографів. Одночасно, інша сторона повинна була бути упевнена, що ці датчи­ки посилають тільки ту інформацію, що потрібна для спостереження за ядерними випробуваннями.

Метод умовного посвідчення дійсності може вирішити першу проблему, але тільки цифрові підписи можуть вирішити обидві про­блеми. Сторона, на території якої стоїть сейсмограф, може прочита­ти, але не змінити дані Сейсмографа, а сторона, що стежить, знає, що дані не були підроблені.

Підпис документа за допомогою симетричних криптосистем і посередника. Ці протоколи працюють, але вони вимагають від по­середника чималих витрат часу. Він повинен цілими днями розшиф­ровувати і шифрувати повідомлення, виступаючи посередником між кожною парою людей, що хочуть обмінюватися підписаними доку­ментами. Посередник зберігає повідомлення в базі даних (хоча цьо­го можна уникнути, посилаючи одержувачу копію шифрованого по­відомлення відправника). Він буде вузьким місцем будь-якої систе­ми зв'язку, навіть якщо він проста комп'ютерна програма.

Такого посередника, якому будуть довіряти всі кореспонденти, важко знайти і важко зберегти. Він повинний бути безгрішний, якщо він зробить хоча б одну помилку на мільйон підписів, ніхто не буде вірити йому. Посередник повинний бути абсолютно безпечний. Як­що його база даних із секретними ключами коли-небудь розкриєть­ся, чи хто-небудь зможе перепрограмувати його, усі підписи стануть марними. Така схема теоретично може працювати, але вона недоста­тньо підходить для практичного застосування.

Дерева цифрових підписів. Ральф Меркл запропонував систему цифрових підписів, засновану на криптографії із секретним ключем, що створює нескінченну кількість одноразових підписів, використо­вуючи деревоподібну структуру. Основною ідеєю цієї схеми є роз­міщення коренів дерева в деякому відкритому файлі, таким чином засвідчуючи його. Корінь підписує одне повідомлення і засвідчує підвузли дерева. Кожний з цих вузлів підписує одне повідомлення і засвідчує свої підвузли, і так далі.

Підпис документа за допомогою криптографії з відкритими ключами.

Існують алгоритми з відкритими ключами, які можна використо­вувати для цифрових підписів. У деяких алгоритмах, наприклад

RSA, для шифрування може бути використаний чи відкритий, чи закритий ключ. Зашифруйте документ своїм закритим ключем, і ви одержите надійний цифровий підпис. В інших випадках - прикла­дом є DSA - для цифрових підписів використовується окремий ал­горитм, що неможливо використовувати для шифрування. Ця ідея вперше була винайдена Діффі і Хеллманом. Цей протокол набагато краще попереднього. Посередник не потрібний ні для підпису доку­ментів, ні для її перевірки. Такий підпис відповідає усім вимогам:

1. Цей підпис достовірний.

2. Цей підпис непідроблений.

3. Цей підпис не можна використовувати повторно. Підпис є фу­нкцією документа і не може бути перенесений в інший документ.

4. Підписаний документ не можна змінити. Після будь-якої зміни документа підпис не зможе більше підтверджуватися відкритим ключем відправника.

5. Від підпису неможливо відмовитися. Одержувачу не потрібно допомога відправника при перевірці підпису.

Підпис документа і мітки часу. В цифрові підписи часто вклю­чають мітки часу. Дата і час підписання документа додаються до документа і підписуються разом із усім змістом повідомлення. Банк зберігає цю мітку часу в базі даних. Тепер, якщо одержувач спробує одержати готівку за чеком відправника в другий раз, банк перевірить мітку часу у своїй базі даних.

Підпис документа $а допомогою криптографії з відкритими ключами й однонапраелених хеш-функцій. На практиці алгоритми з відкритими ключами часто недостатньо ефективні для підпису ве­ликих документів. Для економії часу протоколи цифрового підпису нерідко використовують разом з односпрямованими хеш-фуикціями. Відправник підписує не документ, а значення хеш-функції для дано­го документа. У цьому протоколі односпрямована хеш-функція й алгоригм цифрового підпису узгоджуються заздалегідь.

Швидкість помітно зростає, а імовірність одержати для двох різ­них документів однакове 160-бітне значення хеш-функції складає тільки один шанс із 2, 6°. Зазначимо, що повинна використовуватися тільки односпрямована хеш-функція, інакше створити різні докуме­нти з тим самим значенням хеш-функції неважко, і підпис одного документа приведе до помилкового підпису відразу багатьох доку­ментів.

У протокола є й інші вигоди. Підпис може бути відділений від документа. Значно зменшуються вимоги до обсягу пам'яті одержу­вача, у якому зберігаються документи і підписи. Архівна система може використовувати цей протокол для підтвердження існування документів, не зберігаючи зміст. У центральній базі даних можуть зберігатися лише значення хещ-функції для файлів. Зовсім не потрі­бно переглядати файли, користувачі поміщають свої значення хеш-функції в базу даних, а база даних зберігає ці значення, позначаючи їх часом одержання документа. Якщо в майбутньому виникне яка-небудь розбіжність із приводу автора і часу створення документа, база даних зможе дозволити його за допомогою значення хеш-функції, що зберігається в ній. Подібна система має велике значення при збереженні секретної інформації.

Алгоритм цифрового підпису. Електронний цифровий підпис забезпечує цілісність повідомлень (документів), переданих незахи-щеними телекомунікаційними каналами загального користування в системах обробки інформації різного призначення, з гарантованою ідентифікацією її автора (особи, що підписала документ).

При практичній реалізації цифрового електронного підпису (осо­бливо великих документів) використовуються однонаправлені дай­джести, що шифруються секретним ключем відправника і таким чи­ном розшифровується не все повідомлення, а лише його дайджест, що захищає послання від несанкціонованої зміни.

Процедура ефекгивної генерації електронного підпису проілюст­рована на рис.6.16а.

Перевірка ефективно згенерованого електронного підпису може бути реалізована способом, зображеним на рис.6.166.

Після того, як відправник згенерував дайджест повідомлення і зашифрував його своїм секретним ключем (утворивши таким чином цифровий підпис) одержувач шифрує код дайджесту відкритим ключем відправника і за відкритим текстом відомим алгоритмом генерує дайджест прийнятого повідомлення. Якщо дайджести сфор­мовані відправником і одержувачем співпадають, то вважається, що процедура перевірки цілісності і аутентифікації відправника пройш­ла успішно.

Одна з основних вимог до методів цифрового підпису - немож­ливість перебування двох або більше документів під одним підпи­сом. Для цього використовується процедура хешування, у результаті

якої до кожного документа ставиться відповідне велике і непередба­чене число, що власне і підписується.

 

 

 

7 стандарти із захисту інформації

7.1. Проблеми створення стандартів із ЗІ

В основному роль стандартів із ЗІ така сама, як і в будь-якій іншій сфері. Кожна людина повинна мати можливість оцінювати і порівнювати все, що є навколо неї і чим вона користується. У цьому сенсі ІБ нічим не відрізняється від інших сфер нашої діяльності. Головне завдання стандартів ІБ - створити основу для взаємодії між виробниками, споживачами та експертами з кваліфікації продуктів інформаційних технологій. Кожна з цих груп має свої інтереси і свої погляди на проблему ІБ.

Споживачі, по-перше, зацікавлені в методиці, яка дозволяє об­ґрунтовано обрати продукт, що відповідає їх потребам і вирішує їх проблеми, для чого їм необхідна чітка шкала оцінки безпеки, і, по-друге, мають потребу в інструменті, за допомогою якого вони могли б формулювати свої вимоги виробнику. При цьому споживачів (що, до речі, цілком природно й обґрунтовано) цікавлять виключно харак­теристики і властивості кінцевого продукту, а не методи та засоби їх досягнення. Тут звернемо увагу на те, що саме з цієї точки зору ми цікавимось взагалі будь-якими товарами (тобто не обов'язково пов'язаними з ІБ). З цієї ж точки зору ідеальна шкала оцінки безпеки мала б виглядати приблизно Виробники, у свою чергу, мають потребу в стандартах для порів­няння можливостей своїх продуктів і в застосуванні процедури сер­тифікації для об'єктивного оцінювання їх властивостей, а також у стан­дартизації певного набору вимог безпеки, що міг би обмежити фан­тазію замовника конкретного продукту і змусити його вибирати вимоги з цього продукту. Знову згадаємо будь-якого звичайного виробника -йому зовсім не хочеться робити все для всіх. З погляду виробника, вимоги повинні бути максимально конкретними і регламентувати не­обхідність застосування тих чи інших засобів, механізмів, алгоритмів і т. д. Крім того, вимоги не повинні вступати в конфлікт з існуючими методами й алгоритмами обробки інформації, архітектурою КС і тех­нологіями створення інформаційних продуктів. Цей підхід також не може бути визнаний домінуючим, тому що він не враховує потреби користувачів (адже в кінцевому рахунку саме для них все робиться) і намагається підігнати вимоги захисту під існуючі системи і техноло­гії, а це далеко не завжди можливо здійснити без збитку для безпеки.

Експерти з кваліфікації і фахівці із сертифікації розглядають стандарти як інструмент, що допомагає їм оцінити рівень безпеки, забезпечуваний продуктами інформаційних технологій, і надати спо­живачам можливість зробити обґрунтований вибір. Виробники в ре­зультаті кваліфікації рівня безпеки одержують об'єктивну оцінку мож­ливостей свого продукту. Експерти з кваліфікації опиняються у двоїс­тому становищі. З одного боку, вони, як і виробники, зацікавлені в чітких і простих критеріях, над застосуванням яких до конкретного продукту не потрібно ламати голову (найкраще це могла б бути анкета з відповідями типу «так/ні»). З іншого боку, вони повинні дати обґрунтовану відповідь користувачам - задовольняє продукт їх потреби чи ні. Виходить, що саме експерти приймають на себе весь тягар відповідальності за безпеку продукту, що одержав кваліфікацію рівня безпеки і пройшов сертифікацію.

Таким чином, перед стандартами ІБ стоїть непросте завдання -примирити ці три точки зору і створити ефективний механізм взаємодії всіх сторін. Причому «обмеження» потреб хоча б однієї з них приве­де до неможливості взаєморозуміння і взаємодії і, отже, не дасть вирішити загальне завдання - створення захищеної системи обробки інформації.

Якими узагальненими показниками можна було б охарактеризува­ти стандарти ІБ?

Як такі показники, що мають значення для всіх трьох сторін, зруч­но використовувати універсальність, гнучкість, гарантованість, реалі-зовуваність і актуальність [3].

так (звичайно, залежно від можливого для споживача рівня конфіденційності інформації):

Рівень 1. Система для обробки інформації з грифом не вище ніж «для службового користування».

Рівень 2. Система для обробки інформації з грифом не вище ніж «секретно» і т. д.

Відповідно і вимоги споживач міг би сформулювати приблизно в такій формі: «Я хотів би, щоб у мене все було захищене для обробки, наприклад, цілком таємної інформації». Нагадаємо, що коли ми щось купуємо, то, звичайно ж, хочемо, щоб воно було найліпшим, найдовго-вічнішим і т. ін. Однак цей неконструктивний підхід сам по собі не такий страшний, багато гірше інше - більшість споживачів не розу­міє і не хоче розуміти, що за все треба платити (і не тільки грошима) і що вимоги безпеки обов'язково суперечать (не можуть не суперечити!) функціональним вимогам (наприклад, зручності роботи, швидкодії і т. п.), накладають обмеження на сумісність і, як правило, вимагають відмо­витися від широко розповсюджених незахищених прикладних Універсальність стандарту визначається множиною типів АС і галуззю інформаційних технологій, до яких можуть бути коректно використані його положення. Вона дуже важлива, оскільки зараз інформаційні технології бурхливо розвиваються, архітектура систем постійно удосконалюється, сфера їх застосування розширюється. Такі стандарти повинні враховувати всі аспекти.

Під гнучкістю стандарту розуміється можливість і зручність його застосування до інформаційних технологій, що постійно розвива­ються, і час його «застаріння». Гнучкість може бути досягнута виключ­но через фундаментальність вимог і критеріїв і їхню інваріантність стосовно механізмів реалізації і технологій створення ІТ-продуктів.

Гарантованість визначається потужністю передбачених стандар­том методів і засобів підтвердження надійності результатів кваліфі­каційного аналізу. Як показав досвід, для досягнення поставлених цілей експерти повинні мати можливість обґрунтовувати свої виснов­ки, а розробники мати потребу в механізмах, за допомогою яких вони могли б підтвердити коректність своїх розробок і надати споживачам певні гарантії.

Реалізовуваність - це можливість адекватної реалізації вимог і критеріїв стандарту на практиці з урахуванням витрат на цей процес. Реалізовуваність багато в чому пов'язана з універсальністю і гнучкістю, але відбиває суто практичні і технологічні аспекти реалізації поло­жень і вимог стандарту.

Актуальність відбиває відповідність вимог і критеріїв стандарту множині загроз безпеці і новітніх методів і засобів, що використову­ються ЗЛ. Ця характеристика, поряд з універсальністю, є однією з найважливіших, тому що здатність протистояти загрозам і прогнозу­вати їх розвиток фактично є вирішальним чинником при визначенні його придатності.

Необхідність таких стандартів була усвідомлена вже давно (зви­чайно, якщо зважати на розвиток інформаційних технологій), і в цьому напрямі досягнуто істотного прогресу, закріпленого у новому поколінні документів розробки 90-х років. Найбільш значимими стан­дартами ІБ є (у хронологічному порядку): «Критерії безпеки комп'ю­терних систем Міністерства оборони США», «Європейські критерії без­пеки інформаційних технологій», «Керівні документи Держтехкомісїї Росії», «Федеральні критерії безпеки інформаційних технологій США», «Канадські критерії безпеки комп'ютерних систем», «Єдині критерії безпеки інформаційних технологій», «Українські критерії безпеки автоматизованих систем».

Далі ці документи розглядатимуться з погляду їх структури, ви­мог і критеріїв, а також оцінки ефективності їх практичного застосу­вання. Тому огляд буде здійснюватися за схемою: мета розробки, основні положення, таксономія і ранжирування вимог і критеріїв.

Нагадаємо деякі найважливіші терміни і визначення, що тракту­ються практично однаково майже у всіх стандартах.

Політика безпеки (Security Policy). Сукупність норм і правил, що забезпечують ефективний захист системи обробки інформації від заданої множини загроз безпеки.

Модель безпеки (Security Model). Формальне представлення полі­тики безпеки.

Дискреційне, або довільне, керування доступом (Discretionary Access Control). Керування доступом, здійснюване на підставі заданої адмі­ністратором множини дозволених відносин доступу.

Мандатне, або нормативне керування доступом (Mandatory Access Control). Керування доступом, що грунтується на сукупності правил надання доступу, визначених на множині атрибутів безпеки суб'єктів і об'єктів, наприклад залежно від грифа таємності інформації і рівня допуску користувача.

Ядро безпеки (Trusted Computing Base (ТСВ)). Сукупність апарат­них, програмних і спеціальних компонентів КС, що реалізують функції захисту і забезпечення безпеки.

Ідентифікація (Identification). Процес розпізнавання сутностей шляхом присвоєння їм унікальних міток (ідентифікаторів).

Автентифікація (Authentication). Перевірка дійсності ідентифікато­рів сутностей за допомогою різних (переважно криптографічних) методів.

Адекватність (Assurance). Показник реально забезпечуваного рівня безпеки, що відбиває ступінь ефективності і надійності реалізованих засобів захисту і їх відповідностей поставленим завданням (у біль­шості випадків це завдання реалізації політики безпеки).

Кваліфікаційний аналіз, кваліфікація рівня безпеки (Evaluation). Аналіз КС з метою визначення рівня її захищеності і відповідності вимогам безпеки на основі критеріїв стандарту безпеки. Кваліфікація рівня безпеки є кінцевим етапом технологічного циклу створення за­хищених систем, безпосередньо передує процедурі сертифікації і за­вершується присвоєнням КС того чи іншого класу чи рівня безпеки.

Таксономія (Taxonomy). Наукова дисципліна, що займається сис­тематизацією і класифікацією складноорганізованих об'єктів і явищ, які мають ієрархічну будову (від грецького taxis - лад, порядок і noraos - закон). На відміну від звичайної класифікації, що встанов­лює зв'язки і відношення між об'єктами (ієрархія будується знизу вгору), таксономія базується на декомпозиції явищ і поетапному уточненні властивостей об'єктів (ієрархія будується зверху вниз).

Прямий вплив (Trusted Path). Принцип організації інформаційної взаємодії (як правило, між користувачем і системою), який гарантує, що передана інформація не піддається перехопленню чи перекручуванню.

 

9.2. Огляд стандартів із захисту інформації

Критерії безпеки комп'ютерних систем Міністерства обо­рони США (Trusted Computer System Evaluation Criteria), що отрима­ли назву «Оранжева книга» (за кольором обкладинки), були розроб­лені Міністерством оборони США в 1983 році (перша версія) з метою визначення вимог безпеки, які висуваються до апаратного, програм­ного і спеціального забезпечення комп'ютерних систем і розробки відповідної методології аналізу політики безпеки, що реалізується в КС військового призначення.

У цьому документі були вперше нормативно визначені такі по­няття, як «політика безпеки», ТСВ і т. п. Відповідно до «Оранжевої книги» безпечна КС - це система, яка підтримує керування доступом до оброблюваної в ній інформації таким чином, що відповідно авторизовані користувачі або процеси, що діють від їх імені, отри­мують можливість читати, писати, створювати і видаляти інформа­цію. Запропоновані в цьому документі концепції захисту і набір функціональних вимог послужили основою для формування інших стандартів безпеки інформації.

В «Оранжевій книзі» запропоновано три категорії вимог щодо безпеки - політика безпеки, аудит та коректність, у рамках яких сформульовано шість базових вимог безпеки. Перші чотири вимоги спрямовані безпосередньо на забезпечення безпеки інформації, дві інші - на якість самих засобів захисту:

• політика безпеки; вимога 1 (політика безпеки) - система має підтримувати точно визначену політику безпеки, можливість доступу до об'єктів повинна визначатися на основі їх іденти­фікації і набору правил керування доступом; вимога 2 (мітки) -кожен об'єкт повинен мати мітку, що використовується як ат­рибут контролю доступу;

• аудит; вимога 3 (ідентифікація та автентифікація) - всі суб'єкти повинні мати унікальні ідентифікатори, контроль доступу здій­снюється на основі ідентифікації та автентифікації суб'єкта та об'єкта доступу; вимога 4 (реєстрація й облік) - всі події, що мають відношення до безпеки, мають відстежуватися і реєст­руватися в захищеному протоколі;

• коректність; вимога 5 (контроль коректності функціонування засобів захисту) - засоби захисту перебувають під контролем засобів перевірки коректності, засоби захисту незалежні від за­собів контролю коректності; вимога 6 (безперервність захисту) -захист має бути постійним і безперервним у будь-якому режи­мі функціонування системи захисту і всієї системи в цілому.

Запропоновано також чотири групи критеріїв рівня захищеності. Мінімальний захист (група D) містить один клас (D); дискреційний захист (група С) містить два класи (CI, С2); мандатний захист (група В) містить три класи (Bl, В2, ВЗ); верифікований захист (група А) містить один клас (А). Усі групи і класи в них характеризуються зростаючи­ми вимогами безпеки для системи захисту.

У подальшому виявилося, що ряд положень документа застаріли і він був розвинутий (було створено понад чотири десятки допоміжних документів - «Райдужна серія»). Значення «Оранжевої книги» важко переоцінити - це була перша спроба створення єдиного стандарту безпеки, і це був справжній прорив у галузі безпеки інформаційних технологій. Цей документ став точкою відліку для подальших дослі­джень і розробок. Основною його відмінністю є орієнтація на системи військового застосування, причому в основному на ОС.

Історично другими були розроблені «Критерії безпеки інформацій­них технологій» (Information Technology Security Evaluation Criteria, далі «Європейські критерії»). Вони були розроблені Францією, Німеч­чиною, Нідерландами та Великобританією і вперше опубліковані в 1991 році.

«Європейські критерії» розглядають такі основні завдання інфор­маційної безпеки:

• захист інформації від НСД з метою забезпечення конфіденцій­ності;

• забезпечення цілісності інформації шляхом захисту її від несанк­ціонованої модифікації або знищення;

• забезпечення працездатності систем за допомогою протидії за­грозам відмови в обслуговуванні.

Для забезпечення вимог конфіденційності, цілісності і працездат­ності в системі необхідно реалізувати відповідний набір функцій без­пеки, таких як ідентифікація й автентифікація, керування доступом, аудит і т. д. Ступінь впевненості у правильності їх вибору і надійності функціонування визначається за допомогою адекватності (assurance), яка включає в себе два аспекти: ефективність (відповідність засобів безпеки завданням безпеки) і коректність (правильність і надійність реалізації функцій безпеки). Загальна оцінка рівня безпеки системи складається з функціональної потужності засобів захисту і рівня адекватності їх реалізації.

Ефективність визначається функціональними критеріями, які розгля­даються на трьох рівнях деталізації: перший - цілі безпеки, другий -специфікації функцій захисту, третій - механізми захисту. Специфі­кації функцій захисту розглядаються з точки зору таких вимог:

• ідентифікація й автентифікація;

• керування доступом;

• підзвітність;

• аудит;

• повторне використання об'єктів;

• цілісність інформації;

 

• надійність обслуговування;

• безпечний обмін даними.

Набір функцій безпеки специфікується за допомогою визначених класів-шаблонів. Всього визначено десять класів (F-Cl, F-C2, F-B1, F-B2, F-B3, F-IN, F-AV, F-DI, F-DC, F-DX) за зростаючими вимогами.

«Європейські критерії» визначають також сім рівнів адекватності -від ЕО до Е6 (за зростанням вимог при аналізі ефективності та ко­ректності засобів захисту).

Головне досягнення цього документа - введення поняття адекват­ності засобів захисту і визначення окремої шкали для адекватності. Крім того, були визначені основні властивості захищеної інформації -конфіденційність, цілісність.

У 1992 р. Держтехкомісія (ДТК) при президенті Російської Феде­рації опублікувала п'ять Керівних документів з питань захисту інформації від НСД:

1. Захист від несанкціонованого доступу до інформації. Терміни і
визначення.

2. Концепція захисту ЗОТ і АС від НСД до інформації.

3. Автоматизовані системи. Захист від несанкціонованого досту­пу до інформації. Класифікація автоматизованих систем і ви­моги до захисту інформації.

4. Засоби обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від НСД до ін­формації.

5. Тимчасове положення при організації розробки, виготовлення й експлуатації програмних і технічних засобів захисту інформації від НСД в автоматизованих системах і засобах обчислювальної техніки.

Найцікавішими є другий, третій та четвертий документи.

Ідейною основою цих документів є другий документ, який містить систему поглядів ДТК на проблему інформаційної безпеки й основні принципи захисту комп'ютерних систем. З точки зору розробників даних документів, основне завдання засобів безпеки - це забезпечен­ня захисту від НСД до інформації. Якщо засобам контролю і забезпе­ченню цілісності деяка увага і приділяється, то про підтримку працездатності систем обробки інформації взагалі не згадується.

Керівні документи ДТК розглядають дві групи критеріїв безпеки -показники захищеності ЗОТ від НСД і критерії захищеності АС обробки даних. Перша група дає змогу оцінити ступінь захищеності окремих компоненти? АС, а друга - повнофункціональні системи обробки даних.

Встановлено сім класів захищеності ЗОТ від НСД до інформації. Найнижчий клас сьомий, найвищий - перший. Для кожного з класів визначено певні вимоги для ЗОТ.

Для оцінки рівня захищеності АС від НСД встановлено дев'ять класів. Клас підрозділяються на три групи, які відрізняються специ­фікою обробки інформації в АС. Група АС визначається на основі таких ознак:

• наявність в АС інформації різного рівня конфіденційності;

• рівень повноважень користувачів АС на доступ до конфіден­ційної інформації;

• режим обробки даних в АС (колективний або індивідуальний). Наведемо склад кожної групи за зростанням рівня захищеності.

Отже, третя група включає АС, у яких працює один користувач,

допущений до всієї інформації АС, що розміщена на носіях одного рівня конфіденційності. Група містить два класи - ЗБ і ЗА.

Друга група включає АС, у яких користувачі мають однакові пов­новаження доступу до інформації, яка обробляється на носіях різного рівня конфіденційності. Вона має два класи - 2Б і 2А.

Перша група включає багатокористувацькі АС, у яких водночас обробляється інформація різних рівнів конфіденційності. Користува­чі мають різні права доступу. Група містить п'ять класів - ІД, ЇМ, 1В, ІБ, ІА.

Розробка стандарту з ІБ ДТК була дуже важливим новим кроком для тогочасного рівня розвитку інформаційних технологій Росії. Великий вплив на нього справила «Оранжева книга», оскільки і той і інший стандарти були орієнтовані на системи військового застосу­вання. До недоліків даного стандарту слід віднести відсутність вимог до захисту від загроз працездатності, орієнтація тільки на захист від НСД, відсутність вимог до адекватності реалізації політики безпеки. Поняття політики безпеки трактується виключно як підтримка секретності і недопущення НСД, що принципово неправильно.

«Федеральні критерії безпеки інформаційних технологій» (Federal Criteria for Information Technology Security) розроблялись як одна із складових «Американського федерального стандарту з обробки ін­формації» (Federal for Information Processing Standard) і мали замінити «Оранжеву книгу». Розробниками стандарту виступили Національ­ний шститут стандартів і технологій США (National Institute of Standards and Technology - NIST) та Агентство національної безпеки США (National Security Agency - NSA). Перша версія документа була опу­блікована в грудні 1992 р.

Цей документ розроблений на основі результатів численних до­сліджень у галузі забезпечення інформаційних технологій 80-х - по­чатку 90-х років, а також на основі досвіду використання «Оранжевої книги». Документ являє собою основу для розробки і сертифікації компонентів інформаційних технологій з погляду забезпечення без­пеки. Створення документа мало такі цілі:

1. Визначення універсального й відкритого для подальшого роз­витку базового набору вимог безпеки до сучасних інформаційних технологій. Вимоги до безпеки і критерії оцінки рівня захище­ності повинні відповідати сучасному рівню розвитку інформа­ційних технологій і враховувати його прогрес у майбутньому.

2. Удосконалення існуючих вимог і критеріїв безпеки. У зв'язку з розвитком інформаційних технологій назріла необхідність пе­регляду фундаментальних принципів безпеки з урахуванням появи нових сфер їх застосування як у державному, так і в приватному секторі.

3. Приведення у відповідність прийнятих у різних країнах вимог і критеріїв безпеки інформаційних технологій.

4. Нормативне закріплення основних принципів інформаційної безпеки. Стандарт є узагальненням основних принципів забез­печення безпеки шформаційних технологій, розроблених у 80-ті роки, і забезпечує наступність стосовно них з метою збережен­ня досягнень у галузі захисту інформації. Основними об'єктами вимог безпеки «Федеральних критеріїв» є продукти IT, під якими розуміється сукупність апаратних і/чи про­грамних засобів, яка являє собою готовий до використання засіб об­робки інформації і постачається споживачеві. Як правило, ІТ-продукт експлуатується не автономно, а інтегрується в систему обробки ін­формації, що являє собою сукупність ІТ-продуктів, об'єднаних у функ­ціонально повний комплекс, призначений для розв'язання прикладних задач. З погляду безпеки принципове розходження між ІТ-продуктом і системою обробки інформації визначається середовищем їх експлу­атації. Продукт IT звичайно розробляється в розрахунку на те, що він буде використовуватися в багатьох системах обробки інформації, і, отже, розробник повинен орієнтуватися тільки на найзагальніші при­пущення про середовище експлуатації свого продукту, що включають умови застосування і загальні загрози. Навпаки, системи обробки ін­формації розробляються для розв'язання прикладних задач у розрахун­ку на вимоги кінцевих споживачів, що дозволяє враховувати специфіку впливів з боку конкретного середовища експлуатації.

«Федеральні критерії» містять положення, що стосуються тільки окремих продуктів IT, а саме - власних засобів забезпечення безпеки ІТ-продуктів, тобто механізмів захисту, вбудованих безпосередньо в ці продукти у вигляді відповідних програмних, апаратних чи спеціа­льних засобів. Для підвищення ефективності їх роботи можуть використовуватися зовнішні системи захисту і засоби забезпечення безпеки, до яких належать як технічні засоби, так і організаційні заходи, правові і юридичні норми. У кінцевому підсумку безпека ІТ-продукту визначається сукупністю власних засобів забезпечення безпеки і зовнішніх засобів, що є частиною середовища експлуатації.

Ключовим поняттям «Федеральних критеріїв» є поняття профілю захисту - нормативного документа, що регламентує всі аспекти безпеки ІТ-продукту у вигляді вимог до його проектування, техноло­гії розробки і кваліфікаційного аналізу.

«Федеральні критерії» представляють процес розробки інформації у вигляді трьох основних етапів:

1. Розробка й аналіз профілю захисту. Вимоги, викладені в профілі захисту, визначають функціональні можливості ІТ-продукту із забезпечення безпеки. Профіль безпеки аналізується на повноту, несуперечність і технічну коректність.

2. Розробка і кваліфікаційний аналіз ІТ-продукту.

3. Компонування і сертифікація системи обробки інформації в ці­лому.

«Федеральні критерії» регламентують тільки перший етап цієї схеми - розробку й аналіз профілю захисту, наступні етапи запиша­ються поза рамками цього стандарту.

«Федеральні критерії» є першим стандартом ІБ, у якому визнача­ються три незалежні групи вимог: функціональні вимоги до засобів захисту, вимоги до технології розробки і до процесу кваліфікаційного аналізу. Вперше запропоновано концепцію профілю захисту, що містить опис усіх вимог безпеки як до самого ГГ-продукту, так і до процесу його проектування, розробки, тестування і кваліфікаційного аналізу. В доку­менті не використовувався єдиний підхід до оцінки рівня безпеки ІТ-продукту, а запропоновано незалежне ранжування вимог кожної групи.

«Канадські критерії безпеки комп'ютерних систем» (Canadian Trusted Computer Product Evaluation Criteria) були розроблені в Центрі безпеки відомства безпеки зв'язку Канади (Canadian System Security Centre Communication Security Establishment) для використання як національного стандарту безпеки комп'ютерних систем. Першу версію стандарту було опубліковано в 1992 р.

При розробці «Канадських критеріїв» ставилися такі цілі:

1. Запропонувати єдину шкалу критеріїв оцінки безпеки КС для порівняння систем за ступенем забезпечення безпеки.

2. Створити основу для розробки специфікацій безпечних КС, яка могла б використовуватися розробниками при проектуванні систем як керівництво.

3. Запропонувати уніфікований підхід і стандартні засоби для опису характеристик безпечних КС.

Базовим поняттям стандарту є об'єкт, що може перебувати в трьох станах: об'єкт-користувач, об'єкт-процес, пасивний об'єкт.

Функціональні критерії розділяються на чотири групи: критерії кон-фіденцшності, цілісності, працездатності й аудита. Кожна з цих груп (крім аудита) відбиває функціональні можливості системи відображати відповідний клас загроз. У кожній групі критеріїв визначено рівні без­пеки, що відбивають можливості засобів захисту щодо вирішення зав­дань даного розділу. Ранжування за рівнями здійснюється на підставі по­тужності використовуваних методів захисту і класу відбиваних загроз. Рівні з великим номером забезпечують більш високий ступінь безпеки.

Адекватність реалізації визначається тим, наскільки точно і послі­довно засоби, що забезпечують захист, реалізують прийняту в системі політику безпеки. Критерії адекватності відбивають рівень коректності реалізації політики безпеки й охоплюють усі стадії проектування, розробки й експлуатації комп'ютерної системи.

У такий спосіб «Канадські критерії» визначають ступінь безпеки комп'ютерної системи як сукупність функціональних можливостей використовуваних засобів захисту, що характеризується окремими показниками забезпечуваного рівня безпеки й одного узагальненого параметра - рівня адекватності реалізації політики безпеки.

«Канадські критерії» були першим стандартом ІБ, у якому на рівні структури документа функціональні вимоги до засобів захисту відділені від вимог адекватності і якості реалізації політики безпеки. Вперше багато уваги приділяється взаємній відповідності і взаємодії всіх систем забезпечення безпеки. Прогресивними також є вимоги доведення коректності реалізації функціональних вимог і їх формальної відповідності політиці і моделі безпеки.

«Єдині критерії безпеки інформаційних технологій» (Common Criteria for Information Technology Security Evaluation) є результатом спільних зусиль авторів європейських «Критеріїв безпеки інформа­ційних технологій», «Федеральних критеріїв безпеки інформаційних технологій» і «Канадських критеріїв безпеки комп'ютерних систем», спрямованих на об'єднання основних положень цих документів і створення єдиного міжнародного стандарту безпеки інформаційних технологій. Робота над цим наймасштабнішим в історії стандартів інформаціїшої безпеки проектом почалася в червні 1993 року з метою подолання концептуальних і технічних розбіжностей між указаними документами, їх узгодження і створення єдиного міжнародного стандар­ту. Перша версія «Єдиних критеріїв» була опублікована в січні 1996 р. Розробниками документа виступили США, Велика Британія, Канада, Франція і Нідерланди. Розробка цього стандарту мала такі основні цілі:

• уніфікація національних стандартів у сфері оцінки безпеки IT;

• підвищення рівня довіри до оцінки безпеки IT;

• скорочення витрат на оцінку безпеки IT на основі взаємного визнання сертифікатів.

Нові критерії були покликані забезпечити взаємне визнання ре­зультатів стандартизованої оцінки безпеки на світовому ринку IT.

Розробка версії 1.0 критеріїв була завершена в січні 1996 року і схвалена ISO (Міжнародна організація зі стандартизації) у квітні 1996 року. Був проведений ряд експериментальних оцінок на основі версії 1.0, а також організоване широке обговорення документа.

У травні 1998 року була опублікована версія 2.0 документа і на її основі в червні 1999 року був прийнятий міжнародний стандарт ІСО/МЕК 15408. Офіційний текст стандарту видано 1 грудня 1999 року. Зміни, внесені в стандарт на завершальній стадії його прийняття, враховані у версії 2.1, ідентичній початковій основі.

Єдині критерії узагальнили зміст і досвід використання «Оранжевої книги», розвинули рівні гарантованості європейських критеріїв, втілили в реальні структури концепцію профілів захисту «Федеральних крите­ріїв США».

У єдиних критеріях здійснено класифікацію широкого набору функціональних вимог і вимог довіри до безпеки, визначено структу­ри їх групування і принципи цільового використання.

Основними відмітними рисами стандарту є:

1. Насамперед, стандарт - це певна методологія і система форму­вання вимог і оцінки безпеки IT. Системність простежується

починаючи від термінології і рівнів абстракції висування вимог і закінчуючи їх використанням при оцінці безпеки на всіх ета­пах життєвого циклу виробів IT.

2. Єдині критерії характеризуються найповнішою на сьогодніш­ній день сукупністю вимог до безпеки IT.

3. У єдиних критеріях проведено чіткий поділ вимог безпеки на функціональні вимоги і вимоги довіри до безпеки. Функціональні вимоги стосуються сервісів безпеки (ідентифікації, автентифі­кації, керування доступом, аудита і т. д.), а вимоги довіри -технології розробки, тестування, аналізу вразливостей, експлу­атаційної документації, постачання, супроводу, тобто всіх етапів життєвого циклу виробів IT.

4. Єдині критерії включають шкалу довіри до безпеки (оцінні рівні довіри до безпеки), що може використовуватися для формування різних рівнів впевненості в безпеці продуктів IT.

5. Систематизація і класифікація вимог за ієрархією «клас»-«сімей-ство»-«компоненти»-«елемент» з унікальними ідентифікатора­ми вимог забезпечує зручність їх використання.

6. Компоненти вимог у сімействах і класах ранжовані за ступе­нем повноти і жорсткості, а також згруповані в пакети вимог.

7. Гнучкість у підході до формування вимог безпеки для різних типів виробів IT і умов їх застосування забезпечується можли­вістю цілеспрямованого формування необхідних наборів вимог у вигляді певних стандартизованих структур (профілів захисту і завдань безпеки).

8. Єдині критерії є відкритими для наступного нарощування су­купності вимог.

Як показують оцінки фахівців у сфері інформаційної безпеки, за рівнем систематизації, повноти і можливості деталізації вимог, універ­сальності і гнучкості в застосуванні стандарт являє собою найбільш розроблений із існуючих у даний час стандартів. Причому, що дуже важливо, внаслідок особливостей побудови він має практично необ­межені можливості для розвитку, являє собою не функціональний стандарт, а методологію завдання, оцінки і каталог вимог безпеки IT, що може нарощуватися й уточнюватися.

Основними документами, що описують усі аспекти безпеки ІТ-продукту з погляду користувачів і розробників, є відповідно профіль захисту і проект захисту.

Профіль захисту визначає вимоги безпеки до певної категорії ІТ-продуктів і не уточнює методів і засобів їх реалізації. Це дуже до­кладний документ, що містить такі розділи: вступ, опис ІТ-продукту, середовище експлуатації, завдання захисту, вимоги безпеки, додат­кові відомості, обґрунтування завдань захисту і вимог безпеки.

Проект захисту містить вимоги і завдання ІТ-продукту, а також описує рівень функціональних можливостей реалізованих у ньому засобів захисту, їх обгрунтування і підтвердження ступеня їхньої адекватності. Проект захисту, з одного боку, є точкою відліку для розробника системи, а з іншого - являє собою еталон системи в ході кваліфікаційного аналізу. Документ містить такі розділи: вступ, опис ІТ-продукту, середовище експлуатації, завдання захисту, вимоги без­пеки, загальні специфікації ІТ-продукту, заявка на відповідність профі­лю захисту, обгрунтування.

Профіль і проект захисту вичерпно регламентують взаємодію спо­живачів, виробників і експертів із кваліфікації в процесі створення ІТ-продукту. Фактично ці документи визначають технологію розроб­ки захищених систем. Найважливішим елементом цієї технології є вимоги безпеки.

«Єдині критерії» розділяють вимоги безпеки на дві категорії: функ­ціональні вимоги і вимоги адекватності.

Функціональні вимоги регламентують функціонування компонен­тів ІТ-продукту, що забезпечують безпеку, і визначають можливості засобів захисту. Функціональні вимоги представляються у вигляді складної, але добре опрацьованої формальної ієрархічної структури, що складається з класів, розбитих на розділи.

Адекватність являє собою характеристику ІТ-продукту, що пока­зує, наскільки ефективно забезпечується заявлений рівень безпеки, а також ступінь коректності реалізації засобів захисту. Вимоги адеква­тності жорстко структуровані і регламентують усі етапи проектуван­ня, створення й експлуатації ІТ-продукту з погляду надійності роботи засобів захисту і їхньої адекватності функціональним вимогам, за­вданням захисту і загрозам безпеки. Є сім стандартних рівнів адеква­тності, причому рівень вимог адекватності зростає від першого рівня до сьомого. Кожен рівень характеризується набором вимог адекват­ності, що регламентують застосування різних методів і технологій розробки, тестування, контролю і верифікації ІТ-продукту:

Рівень 1. Функціональне тестування.

Рівень 2. Структурне тестування.

Рівень 3. Методичне тестування і перевірка.

Рівень 4. Методична розробка, тестування й аналіз.

Рівень 5. Напівформальні методи розробки і тестування.

Рівень 6. Напівформальні методи верифікації розробки і тестування.

Рівень 7. Формальні методи верифікації розробки і тестування.

Таким чином, вимоги «Єдиних критеріїв» охоплюють практично всі аспекти безпеки ІТ-продуктів і технології їх створення, а також містять усі вихідні матеріали, необхідні споживачам і розробникам для формування профілів і проектів захисту. Крім того, стандарт є практично всеосяжною енциклопедією інформаційної безпеки, тому мо­же використовуватися як довідник з безпеки інформаційних технологій.

Цей стандарт ознаменував собою новий рівень стандартизації інфор­маційних технологій, піднявши його на міждержавний рівень. За цим уже бачиться реальна перспектива створення єдиного безпечного ін­формаційного простору, у якому сертифікація систем безпеки оброб­ки інформації буде здійснюватися на глобальному рівні, що надасть можливості для інтеграції національних інформаційних систем, а це, у свою чергу, відкриє зовсім нові сфери застосування інформаційних технологій.

7.3. Державний стандарт (Критерії) України із ЗІ

У 1997 р. Департаментом спеціальних телекомунікацій­них систем та захисту інформації СБ України була розроблена перша версія системи нормативних документів із технічного захисту інформації в комп'ютерних системах від НСД. Ця система включає чотири документи:

1. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.

2. Класифікація автоматизованих систем і стандартні функціона­льні профілі захищеності оброблюваної інформації від несанк­ціонованого доступу.

3. Критерії оцінки захищеності інформації в комп'ютерних сис­темах від несанкціонованого доступу.

4. Термінологія в галузі захисту інформації в комп'ютерних сис­темах від несанкціонованого доступу.

Розглянемо більш детально кожен з наведених документів.

Нормативний документ технічного захисту інформації (НД ТЗІ) «Загальні положення...» визначає методологічні основи (концепцію) вирішення завдань захисту інформації в комп'ютерних системах і створення нормативних і методологічних документів, що регламен­тують питання:

• визначення вимог щодо захисту КС від несанкціонованого до­ступу;

• створення захищених КС і засобів їх захисту від несанкціоно­ваного доступу;

• оцінки захищеності КС і їх придатності для вирішення завдань споживача.

Документ призначено для постачальників (розробників), спожива­чів (замовників, користувачів) КС, які використовуються для обробки (у тому числі збирання, збереження, передачі і т. п.) критичної інформа­ції (інформації, що вимагає захисту), а також для державних органів, що здійснюють функції контролю за обробкою такої інформації.

Інформаційні ресурси держави або суспільства в цілому, а також окремих організацій і фізичних осіб являють собою певну цінність, мають відповідне матеріальне вираження і вимагають захисту від різноманітних за своєю сутністю впливів, які можуть призвести до зниження цінності інформаційних ресурсів.

Захист інформації, що обробляється в АС, полягає у створенні і підтримці в дієздатному стані системи заходів, як технічних (інженер­них, програмно-апаратних), так і нетехнічних (правових, організацій­них), що запобігають або ускладнюють можливість реалізації загроз, а також знижують потенційні збитки. Інакше кажучи, захист інфор­мації спрямовано на забезпечення безпеки оброблюваної інформації й АС у цілому, тобто такого стану, який забезпечує збереження заданих властивостей інформації й АС, що її обробляє. Система зазначених заходів, що забезпечує захист інформації в АС, назива­ється комплексною системою захисту інформації (КСЗІ).

Істотна частина проблем забезпечення захисту інформації в АС може бути вирішена організаційними заходами. Проте з розвитком інформаційних технологій спостерігається тенденція зростання потреби застосування технічних заходів і засобів захисту.

АС являє собою організаційно-технічну систему, що об'єднує обчислювальну систему, фізичне середовище, персонал і оброблювану інформацію. Прийнято розрізняти два основні напрями ТЗІ в АС - це захист АС і оброблюваної інформації від несанкціонованого доступу і захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку каналами побічних електромагнітних випромінювань і наведень).

Цей документ і комплект НД, що базується на ньому, присвяче­ний питанням організації захисту від НСД і побудови засобів захисту від НСД, що функціонують у складі обчислювальної системи АС. Організаційні і фізичні заходи захисту, включаючи захист від фізич­ного НСД до компонентів ОС, як і захист від витоку технічними каналами, не є предметом розгляду. Незважаючи на це, при викладі увага приділяється також і деяким нетехнічним аспектам, але тільки там, де це впливає на оцінку технічної захищеності.

З точки зору методології в проблемі захисту інформації від НСД слід виділити два напрями:

• забезпечення й оцінка захищеності інформації в АС;

• реалізація та оцінка засобів захисту, що входять до складу компонентів, з яких будується обчислювальна система АС (програмних продуктів, засобів обчислювальної техніки та ін.), поза конкретним середовищем експлуатації.

Кінцевою метою всіх заходів щодо захисту інформації є забезпе­чення безпеки інформації під час її обробки в АС. Захист інформації повинен забезпечуватись на всіх стадіях життєвого циклу АС, на всіх технологічних етапах обробки інформації й в усіх режимах функціо­нування. Життєвий цикл АС включає розробку, впровадження, екс­плуатацію та виведення з експлуатації.

У випадку, якщо в АС планується обробка інформації, порядок обробки і захисту якої регламентується законами України або іншими нормативно-правовими актами (наприклад, інформація, що становить


Поделиться с друзьями:

mylektsii.su - Мои Лекции - 2015-2024 год. (0.038 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал