Концепция защиты информации от НСД.

Защита информации от несанкционированного доступа в государственных и коммерческих структурах организована на основе системы законодательных и нормативно-правовых документов. Комплекс руководящих документов, регламентирующих вопросы защиты информации от НСД разработан Гостехкомиссией РФ, которая является основной организацией курирующей это направление защиты информации.

Комплекс руководящих документов по защите от НСД включает:

· Концепцию защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации

· Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники

· Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации

· Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации

· Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации

· Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей

· Защита от несанкционированного доступа. Термины и определения

Основным документом, определяющим общие взгляды на защиту информации от НСД, является Руководящий документ Гостехкомиссии РФ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа».

Концепция защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа к информации излагает систему взглядов и основных принципов, которые закладываются в основу защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации.

Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, которые используются для обработки, хранения и передачи информации требующей защиты. В концепции не уточняется, какая информация подпадает под категорию требующей защиты. Это определяется законодательными документами, регулирующими информационные отношения между собственниками информации. Выполнение требований руководящих документов является обязательным для АС, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну или персональные данные. Необходимость защиты конфиденциальной информации, содержащей служебную, банковскую, коммерческую и другие виды тайн, определяется собственниками этой информации.

Концепция является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач:

· выработка требований по защите СВТ и АС от НСД к информации;

· создание защищенных от НСД к информации СВТ и АС;

· сертификация защищенных СВТ и АС.

Концепция предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие направлений в проблеме защиты информации от НСД: направление, связанное с СВТ, и направление, связанное с АС.

Отличие двух направлений заключается в том, что СВТ разрабатываются и поставляются на рынок как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации.

Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации.

В связи с этим, если понятия защищенность (защита) информации от НСД в АС и защищенность (защита) АС от НСД к информации эквивалентны, то в случае СВТ можно говорить лишь о защищенности (защите) СВТ от НСД к информации, для обработки, хранения и передачи которой оно предназначено. При этом, защищенность СВТ есть потенциальная защищенность, т.е. свойство предотвращать или существенно затруднять НСД к информации в дальнейшем при использовании СВТ в АС.

При анализе общей проблемы безопасности информации выделяются те направления, в которых преднамеренная или непреднамеренная деятельность человека, а также неисправности технических средств, ошибки программного обеспечения или стихийные бедствия могут привести к утечке, модификации или уничтожению информации.

Известны такие направления исследования проблемы безопасности информации, как радиотехническое, побочные электромагнитные излучения и наводки, акустическое, НСД и другие.

Несанкционированный доступ (НСД) определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС.

Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.

Определение НСД в руководящих документах Гостехкомиссии РФ отличается по содержанию от определения НСД по ГОСТ Р 50922-96 «Защита информации. Основные термины и определения», в котором акцент на использование штатных средств при осуществлении НСД не делается.

Защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации.

Защита СВТ обеспечивается комплексом программно-технических средств. Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.

Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.

Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС).

Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.

Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами.

В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС. Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей. Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.

Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты.

К основным способам НСД относятся:

· непосредственное обращение к объектам доступа. Появление этого способа НСД возможно при выборе неправильной политики информационной безопасности, когда остаются возможности непосредственного обращения субъектов к объектам доступа без посредничества механизмов защиты. Например, если в таблице разграничения доступа не ограничены права пользователя по доступу к файлам и каталогам;

· создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты. Этот способ НСД появляется, если используемые программные и технические средства не проверены на отсутствие недекларированных возможностей или в АС имеются инструментальные средства для создания программ. В этом случае имеющиеся или специально созданные пользователем средства могут иметь возможность обращаться к объектам защиты в обход механизмов защиты, используя низкоуровневые команды;

· модификация средств защиты, позволяющая осуществить НСД. Модификация средств защиты возможна при наличии в них конструктивных дефектов, например, «люков» в программных средствах, не удаленных после отладки программы;

· внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД. Внедрение программных или программно-аппаратных закладок, как правило, производится на этапе разработки и создания средств СВТ. Чаще всего, в программные средства включаются программные закладки типа «троянского коня», которые способны на несанкционированные действия, например, перехват пароля пользователя и передачу его по сети создателю закладки.

Обеспечение защиты СВТ и АС осуществляется:

· системой разграничения доступа (СРД) субъектов к объектам доступа;

· обеспечивающими средствами для СРД.

Основными функциями СРД являются:

· реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным;

· реализация ПРД субъектов и их процессов к устройствам создания твердых копий;

· изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;

· управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа;

· реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.

Обеспечивающие средства для СРД выполняют следующие функции:

· идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;

· регистрацию действий субъекта и его процесса;

· предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;

· реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;

· тестирование;

· очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;

· учет выходных печатных и графических форм и твердых копий в АС;

· контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств.

Ресурсы, связанные как с СРД, так и с обеспечивающими ее средствами, включаются в объекты доступа. Способы реализации СРД зависят от конкретных особенностей СВТ и АС.

Возможно применение следующих способов защиты и любых их сочетаний:

· распределенная СРД и СРД, локализованная в программно-техническом комплексе (ядро защиты);

· СРД в рамках операционной системы, СУБД или прикладных программ;

· СРД в средствах реализации сетевых взаимодействий или на уровне приложений;

· использование криптографических преобразований или методов непосредственного контроля доступа;

· программная и (или) техническая реализация СРД.

 

Основными характеристиками технических средств защиты являются:

· степень полноты и качество охвата ПРД реализованной СРД;

· состав и качество обеспечивающих средств для СРД;

· гарантии правильности функционирования СРД и обеспечивающих ее средств.

Полнота и качество охвата ПРД оценивается по наличию четких непротиворечивых заложенных в СРД правил доступа к объектам доступа и мерам их надежной идентификации. Для АС, обрабатывающих особо ценную информацию корректность реализации ПРД в СРД должна быть доказана формально.

При оценке состава и качества обеспечивающих средств для СРД учитываются средства идентификации и опознания субъектов и порядок их использования, полнота учета действий субъектов и способы поддержания привязки субъекта к его процессу.

Гарантии правильности функционирования оцениваются по способам проектирования и реализации СРД и обеспечивающих ее средств (формальная и неформальная верификация) и по составу и качеству препятствующих обходу СРД средств (поддержание целостности СРД и обеспечивающих средств, восстановление после сбоев, отказов и попыток НСД, контроль дистрибуций, возможность тестирования на этапе эксплуатации).

Оцениваемые АС или СВТ должны быть тщательно документированы. В состав документации включаются Руководство пользователя по использованию защитных механизмов и Руководство по управлению средствами защиты. Для АС и СВТ, претендующих на высокий уровень защищенности, оценка осуществляется при наличии проектной документации (эскизный, технический и рабочий проекты), а также описаний процедур тестирования и их результатов.

Классификация необходима для более детальной, дифференцированной разработки требований по защите от НСД с учетом специфических особенностей этих систем.

В основу системы классификации АС должны быть положены следующие характеристики объектов и субъектов защиты, а также способов их взаимодействия:

· информационные, которые определяют ценность информации, ее объем и степень (гриф) конфиденциальности, а также возможные последствия неправильного функционирования АС из-за искажения (потери) информации;

· организационные, которые определяют полномочия пользователей;

· технологические, которые определяют условия обработки информации, например, способ обработки (автономный, мультипрограммный и т.д.), время циркуляции (транзит, хранение и т.д.), вид АС (автономная, сеть, стационарная, подвижная и т.д.).

Организация работ по защите СВТ и АС от НСД к информации должна быть частью общей организации работ по безопасности информации. Обеспечение защиты основывается на требованиях по защите к разрабатываемым СВТ и АС, формулируемых заказчиком и согласуемых с разработчиком.

Эти требования задаются либо в виде желаемого уровня защищенности СВТ или АС, либо в виде определенного, соответствующего этому уровню перечня требований.

Требования по защите обеспечиваются разработчиком в виде комплекса средств защиты. Организационные мероприятия для АС реализуются заказчиком. Ответственность за разработку КСЗ возлагается на главного конструктора СВТ или АС.

Проверка выполнения технических требований по защите проводится аналогично с другими техническими требованиями в процессе испытаний (предварительных, государственных и др.). По результатам успешных испытаний оформляется документ (сертификат), удостоверяющий соответствие СВТ или АС требованиям по защите и дающий право разработчику на использование и (или) распространение их как защищенных.

Разработка мероприятий по защите должна проводиться одновременно с разработкой СВТ и АС и выполняться за счет финансовых и материально-технических средств (ресурсов), выделенных на разработку СВТ и АС.

ГЛАВА 2. ЗАЩИТА ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННЫХ СИСТЕМАХ

 

2.1. Комплексная система защиты информации в автоматизированных системах.

 

В различных источниках под комплексностью защиты информации понимают совокупность защитных свойств информационной системы, которые способны обеспечить безопасность обрабатываемых данных при воздействии на систему множества различных дестабилизирующих факторов. Эти свойства отражаются в требованиях по безопасности, предъявляемых к информационной архитектуре системы, используемым средствам и методам защиты, организации управления информационной безопасностью. Требования формулируются заказчиком и разработчиком системы в зависимости от решаемых задач, предполагаемых угроз, наличия ресурсов на защиту и других факторов.

Наиболее часто под комплексностью защиты подразумевают:

· защиту информации на всех уровнях информационного взаимодействия и от всех видов угроз;

· решение вопросов защиты информации на этапе разработки информационной системы, т. е. реализацию упреждающей стратегии защиты при проектировании и создании безопасных информационных систем;

· защиту информации на протяжении всего жизненного цикла существования информации и/или системы, независимо от особенностей информационной архитектуры и применяемых информационных технологий;

· реализацию в системе различных политик информационной безопасности;

· использование адаптивной подсистемы управления информационной безопасностью; и т. д.

Таким образом, в теории под комплексной защитой информации будем понимать обеспечение безопасности всей информации в системе от всех видов угроз, по всем возможным информационным каналам и на протяжении всего жизненного цикла защищаемой информации.

На практике построение систем защиты информации (СЗИ), способных обеспечить теоретическую (абсолютную) безопасность информации, является невозможным в силу объективных законов информационного взаимодействия и особенностей используемых информационных технологий, а также неэффективным из-за ограниченности ресурсов, выделяемых на защиту информации. Это положение отражено в теореме Харрисона, которая утверждает, что доказательство свойств информационной безопасности для произвольной системы является алгоритмически неразрешимой задачей. Однако для частных случаев возможно построение информационных систем с гарантированным уровнем безопасности информации при соблюдении определенных условий и ограничений.

Поэтому, реальные СЗИ строятся из расчета обеспечения безопасности конкретной информации от определенных видов угроз, которые могут быть реализованы через явные каналы, т. е. санкционированные каналы, а также потенциально возможные и известные разработчику несанкционированные информационные каналы.

На практике под комплексной защитой информации будем понимать защиту классифицированной и идентифицированной в системе информации от наиболее вероятных угроз на одном или нескольких уровнях информационного взаимодействия и с определенной гарантированностью защиты.

При этом под гарантированностью защиты понимается обязательное выполнение совокупности принципов построения комплексной защиты с доказательством их корректной реализации в системе.

Принципы построения систем с комплексной защитой информации, вытекают из анализа модели взаимодействия информационных систем и стратегии разграничения доступа, рассмотренных на предыдущих занятиях.

Для реализации стратегии разграничения доступа должен быть определен порядок разделения системы на защищаемые информационные объекты и зоны доступа, а также установлены правила, регламентирующие порядок перемещения объектов из зоны в зону, т. е. обеспечена информационная замкнутость в целом всей системы и отдельных зон доступа на основе принятой политики информационной безопасности.

Информационная замкнутость - это состояние системы, при котором ее информационные объекты или группы объектов изолированы в физических, синтаксических и/или семантических зонах доступа и способны иметь информационные отношения с объектами из других зон только при соблюдении правил принятой политики информационной безопасности.

Информационная замкнутость системы при реализации стратегии разграничения доступа достигается выполнением ряда принципов, которыми необходимо руководствоваться при разработке и создании гарантированно защищенных информационных систем. Рассмотрим основные из этих принципов.

Наличие классификатора (шкалы ценностей) для соотношения уровней ценности защищаемой информации с уровнями функциональных возможностей, предоставляемых информационным объектам по доступу к этой информации.

Классификация информации и объектов системы производится в соответствии с принятой политикой информационной безопасности. Сведения о ценности информации и возможностях объектов являются исходными данными при разработке безопасной информационной архитектуры системы.

Разделение информационного поля системы на контролируемые механизмами защиты физические, синтаксические и семантические зоны доступа.

Порядок разделения на зоны доступа (ЗД) должен отвечать требованиям принятой политики информационной безопасности, в частности, формальной модели разграничения доступа, если используется компьютерная технология. Как правило, в системе реализуется несколько политик безопасности и соответствующих им формальных и неформальных моделей разграничения доступа для различных технологических участков обработки информации или различных уровней информационного взаимодействия. Например, режим секретности регламентирует порядок разделения системы на физические зоны доступа (территории, здания, подъезды, помещения, хранилища и т. п.). Криптографическая подсистема защиты информации разделяет информационное поле на синтаксические зоны доступа. Монитор безопасности в компьютерной системе разделяет объекты и субъекты по семантическим зонам доступа, регулируя функциональные возможности субъектов по отношению к объектам на основе таблиц разграничения доступа.

Таким образом, защищаемая информационная система разделяется на объекты. Для каждого объекта определяются его открытые интерфейсы, по которым он способен взаимодействовать с другими объектами на физическом, синтаксическом и/или семантическом уровне, а также соответствующие этим уровням зоны доступа, в которых объекту разрешено находиться в ходе информационного процесса согласно правил принятой политики безопасности. Возможность нахождения объектов в одной зоне является признаком возможности их взаимодействия на соответствующем уровне.

Минимизация количества и типов отношений между информационными объектами системы, регламентация и формализация порядка установления и модификации этих отношений.

Этот принцип реализуется в виде правил политики информационной безопасности системы, которые определяют: какие объекты системы могут иметь отношения доступа между собой и с объектами внешней среды, и какого типа отношения. Например, в компьютерной системе может быть задана таблица разграничения доступа, в которой указаны пользователи системы и прикладные задачи, каталоги и файлы к которым эти пользователи имеют тот или иной тип доступа.

Реализация в системе функции семантического контроля входной и выходной информации при обмене данными с внешней средой.

Этот принцип направлен на изоляцию объектов системы от объектов внешней среды. Необходимый информационный обмен с внешней средой должен осуществляться только через штатные входы и выходы системы с контролем выходных данных на предмет наличия секретной информации и входных данных на предмет наличия функций обработки информации опасных для системы. Например, в организационных системах функции семантического контроля выполняют органы цензуры. В компьютерных системах некоторые функции входного и выходного контроля выполняют антивирусные средства, межсетевые экраны, программно-аппаратные системы разграничения доступа.

Использование в исполнительной подсистеме обработки информации алгоритмов и средств информационных технологий собственной разработки или прошедших верификацию на отсутствие недекларированных информационных возможностей.

Этот принцип отражает так называемые требования гарантированности защиты и направлен на регламентацию процессов разработки, построения и модификации системы с целью создания и поддержания безопасной информационной среды. Например, для его реализации регламентируются вопросы использования аппаратного и программного обеспечения иностранного производства, а для компьютерных систем класса защищенности 1А устанавливается требование по формальной верификации программ на наличие недекларированных функций.

Организация физической защиты объектов, у которых технологией обработки информации предусмотрено наличие данных в открытом виде, т. е. не защищенных на синтаксическом уровне.

Например, такими объектами в компьютерных системах являются центральный и специализированные процессоры (интерпретаторы), шифраторы, предназначенные для криптографического преобразования данных (синтаксические трансляторы), периферийные устройства ввода-вывода, имеющие открытые интерфейсы для взаимодействия с человеком (монитор, клавиатура, принтер и т. п.), оперативная память, а также носители информации с ключевыми данными. Дополнительное требование к архитектуре системы – это минимизация количества объектов и технологических участков системы, хранящих и обрабатывающих данные в открытом виде.

Выделение исполнительной подсистемы обработки информации в отдельные зоны доступа.

Этот принцип реализуется в системах организационного типа в виде секретного делопроизводства, а в компьютерных системах в виде монитора безопасности, который контролирует все информационные процедуры, исполняемые в системе по запросам прикладных задач, принимая решения об их разрешении или запрете на основе таблиц разграничения доступа. В идеальном случае все прикладное программное обеспечение в системе должно быть проверено на отсутствие функций, позволяющих выполнять информационные процедуры в обход монитора безопасности.

Одним из решений может быть организация обработки информации по технологии «клиент-сервер» с предоставлением исполнительной подсистемой обработки данных информационных услуг (служб или сервисов) функциональным алгоритмам и с реализацией функций разграничения доступа на промежуточном интерфейсном уровне.

Размещение каждого защищаемого объекта системы хотя бы в одной из зон доступа одного из уровней взаимодействия.

Этот принцип означает, что защиту объекта можно организовать только на физическом, синтаксическом или семантическом уровне взаимодействия в зависимости от существующих угроз, условий в которых функционирует система и ресурсов, выделенных на защиту информации. Например, защита файла с информацией может быть осуществлена на физическом уровне организацией охраны помещения, в котором расположены СВТ, на синтаксическом уровне использованием криптографических методов защиты, на семантическом уровне применением системы разграничения доступа. Защиту каналов связи целесообразно осуществлять на синтаксическом уровне, поскольку, физическая защита потребует значительно больших ресурсов.

Наличие в системе механизмов, реализующих функции идентификации объектов при включении и исключении их из системы, а также аутентификации при установлении информационных отношений между объектами.

Идентификация объектов необходима для организации целенаправленного информационного процесса в любых детерминированных информационных системах. Однако при наличии информационных угроз одной идентификации недостаточно, так как противник способен раскрыть соответствующие параметры системы и подделать идентификаторы объектов. Для защиты от этой угрозы применяют специальные способы идентификации с подтверждением подлинности имен (идентификаторов) взаимодействующих объектов. Эти способы называют аутентификацией.

В современных компьютерных системах функции идентификации и аутентификации обычно реализуются в виде отдельных программных или программно-аппаратных модулей с целью повышения гибкости системы.

Организация контроля за нахождением объектов системы в разрешенных зонах доступа: первичного, в ходе проектирования и создания системы, и текущего в период эксплуатации.

 

Рассмотренные принципы построения систем с комплексной защитой информации в том или ином виде реализуются во всех современных защищенных компьютерных системах. Например, в требованиях руководящих документах ГТК по безопасности информации указано, что защита АС должна обеспечиваться подсистемами управления доступом, идентификации и аутентификации, регистрации и учета, криптографической защиты, а также поддерживаться комплексом организационных и технических мер защиты.

Разнесению по ЗД подлежат отдельные информационные объекты системы (носители информации, алгоритмы, файлы, данные и т. п.) или их функционально устойчивые и относительно независимые сочетания, т. е. физические и абстрактные модули (например, человек, АРМ, шифровальная машина или криптографическая плата, операционная система, системный блок ПЭВМ, процессор с ОЗУ и т. п.). Разнесение объектов по зонам доступа может производиться по одному или нескольким признакам, в т. ч. по их совокупности, например, по ценности (важности) обрабатываемой информации, по устойчивости технологических связей при обработке информации, по принадлежности к определенной тематике или владельцу защищаемых сведений, по необходимости осуществления взаимодействия при решении задач, по типам полномочий, необходимых при обработке информации и т. п. Эти признаки определяются принятой в системе политикой информационной безопасности, которая может состоять из нескольких политик, используемых для участков системы с различными информационными технологиями. Для реализации политик безопасности используются формальные и неформальные модели разграничения доступа, которые были рассмотрены в предыдущей теме.

Для того, чтобы реализовать разделение системы на семантические, синтаксические и физические зоны доступа необходимо иметь соответствующие средства и методы, т.е. экраны. Зоны доступа отделяются экранами от неконтролируемой зоны (внешней среды) и от других зон на одном или нескольких уровнях информационного взаимодействия.

Экран (Э) – это один или несколько информационных объектов, которые предназначены для блокирования информационного взаимодействия объектов, находящихся в зоне доступа, выделяемой экраном из системы, с объектами из других зон и внешней среды по соответствующим интерфейсам объектов на одном из уровней информационного взаимодействия.

Для осуществления информационного взаимодействия с объектами внешней среды и между объектами системы, которые находятся в разных ЗД, необходимо физически или логически переместить эти объекты в одну зону, причем на каждом уровне информационного взаимодействия. Санкционированное, регулируемое механизмами защиты, перемещение объектов между зонами доступа должно быть организовано и подконтрольно специальным средствам защиты, которые реализуются отдельно или составе монитора безопасности на соответствующих уровнях взаимодействия.

Отдельное средство регулирования доступом будем называть шлюзом.

Шлюз (Ш) – это транслятор физического, синтаксического или семантического уровня, который предназначен для регулирования доступа объектов, имеющих открытые интерфейсы, в одну или несколько ЗД соответствующего уровня взаимодействия.

Открытие и закрытие шлюзов осуществляется алгоритмами разграничения доступа на основании наличия уникальной информации - ключа, которая позволяет однозначно опознать объект, запрашивающий доступ, и, если это необходимо, определить его полномочия по типу доступа. Уникальность информации должна обеспечить достоверность идентификатора и полномочий объекта. Уникальность может обеспечиваться сложностью технологии получения копии этой информации, наличием информации только у взаимодействующих объектов с защитой ее от компрометации, обеспечением целостности таблицы разграничения доступа и т. п.

Механизмы защиты информации могут реализовать стратегию разграничения доступа на одном или нескольких уровнях информационного взаимодействия систем. Выбор уровня реализации является задачей оптимизации между экономическими и функциональными показателями эффективности механизмов защиты, с учетом общих ограничений, накладываемых на все информационные технологии (ИТ), и специфических ограничений для конкретных ИТ.

Общие ограничения для ИТ на варианты организации защиты обусловлены природой информационного взаимодействия и заключаются в необходимости обеспечения защиты на физическом уровне интерпретаторов, генераторов и хранилищ ключей (уникальной информации) или главного ключа, т. е. тех участков системы, где технология предполагает обработку информации в открытом виде.

Специфические свойства основных используемых информационных технологий и накладываемые ими ограничения по организации защиты, необходимо рассмотреть подробнее, поскольку они оказывают значительное влияние на архитектуру информационных систем и организацию защиты.

Ограничения по организации защиты информации при использовании биотехнологии (человека):

ограниченные возможности по организации защиты на синтаксическом уровне, обусловленные низкой способностью человеческого мозга генерировать и сохранять ключевую информацию с высокими показателями качества и достоверности, а также оперативно модифицировать язык представления данных, что предполагает наличие незащищенной информации на информационных входах и выходах человека;

невозможность семантического ограничения функций обработки информации, потому что человек не может, например, разучиться читать и писать (т. е. невозможно модифицировать его алгоритмы обработки информации, исключив из них определенные команды управления чтением и письмом) или забыть известные ему сведения (т. е. невозможно ограничить известный человеку контекст определенной области знаний);

естественная физическая защита всех внутренних информационных процессов и данных от несанкционированного доступа по нештатным каналам, обусловленная использованием в информационной технологии ассоциативных, а не параллельно-последовательных способов представления информации;

невозможность полной верификации алгоритмов и данных, обусловленная необходимостью нахождения человека вне замкнутого контура системы и сложностью проведения оперативного и достоверного семантического контроля, что не позволяет иметь коэффициент безопасности (лояльности) человека, как информационного объекта системы, близким к единице.

Эти ограничения указывают на необходимость максимального исключения человека из информационного процесса. Идеальный вариант организации защищенной системы - это один человек, принимающий стратегические решения, плюс подконтрольная только ему защищенная автоматическая система для выполнения всех остальных функций системы управления. Однако, в сложных организационно-технических системах такая организация системы управления вряд ли возможна. Именно поэтому, приходится создавать сложные системы защиты информации, которые все равно не бывают идеальными, но возможно сколь угодно близкое их приближение к абсолютному (идеальному) уровню защиты при наличии достаточных ресурсов. В любом случае необходимы максимальные ограничения возможностей информационного взаимодействия человека с другими информационными объектами системы.

Ограничения по организации защиты информации при использовании электронной технологии (компьютера):