Стандарты на создание систем защиты данных

В силу большой сложности разрабатываемых систем защиты данных требуется их сертификация ответственными организациями на соответствие международным и национальным стандартам. Это ведет к повышению эффективности и качества систем защиты и увеличивает степень доверия заказчиков к разрабатываемой ИС.

Фактически, классическим документом, регламентирующим основные понятия, требования, методы проектирования и средства оценки системы информационной безопасности, является «Оранжевая книга» Национального центра компьютерной защиты США. Основополагающим российским документом является концепция защиты от НСД, подготовленная Гостехкомиссией при президенте РФ.

«Оранжевая книга»

Документ, известный как «Оранжевая книга», был впервые опубликован в 1983 году при Министерстве обороны США. В документе указывается, что он определяет действия, связанные с созданием и оценкой так называемых надежных систем.

Надежная система — система, использующая достаточные аппаратные и программные средства, чтобы обеспечить одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.

Степень доверия, или надежность проектируемой или используемой системы, равно как и ее компонентов, оценивается по критериям, относящимся к:

· концепции безопасности;

· гарантированности.

Концепция безопасности

Концепция безопасности (КБ)разрабатываемой системы — набор законов, правил и норм поведения, определяющих, как организация обрабатывает, защищает и распространяет информацию. КБ включает в себя анализ возможных угроз и выбор мер противодействия. Система защиты должна реализовывать КБ. В зависимости от сформулированной концепции выбираются конкретные механизмы, обеспечивающие безопасность системы.

Согласно «Оранжевой книге» КБ надежной системы должна включать в себя следующие механизмы обеспечения безопасности:

· произвольное управление доступом;

· безопасность повторного использования объектов;

· метки безопасности;

· принудительное управление доступом.

1. Произвольное управление доступом состоит в том, что некоторое лицо, имеющее требуемые полномочия, может по своему усмотрению давать другому субъекту (или группе субъектов) или отбирать у него права доступа к объекту. Произвольное управление доступом реализовано в большинстве операционных систем и СУБД. Главное достоинство механизма — гибкость. Недостатки — рассредоточенность управления, сложность централизованного контроля, «оторванность» прав доступа от собственно данных, в результате чего можно копировать секретную информацию в несекретные файлы.

2. Безопасность повторного использования объектов — обеспечение удаление защищаемой информации из объектов после прекращения их использования. Это условие должно в первую очередь выполняться для блоков памяти, как оперативной, так и постоянной.

3. Метки безопасности — метаинформация, ассоциируемая с субъектами и объектами системы для реализации механизма принудительного управления доступом и авторизации вообще. Метка субъекта описывает его благонадежность, метка объекта — степень закрытости содержащейся в нем информации. Метки состоят из двух частей: уровня секретности и списка категорий. Уровни секретности образуют упорядоченное множество, которое может выглядеть так:

· совершенно секретно;

· секретно;

· конфиденциально;

· несекретно.

Список категорий содержит перечень ролей субъекта или перечень функциональных принадлежностей объекта. Например, для корпоративной ИС все объекты и субъекты могут быть проклассифицированы в зависимости от принадлежности к подсистемам, обеспечивающим работу некоторого подразделения. Тогда метка объекта может иметь вид: «Уровень секретности = Конфиденциально. Категория = Отдел продаж».

4. Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Если метки удовлетворяют определенным правилам, то доступ разрешается. Основные правила проверки:

· список категорий субъекта и объекта должен совпадать (или, по крайней мере, пересечение списка категорий субъекта и объекта не должно быть пустым множеством);

· субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта;

· субъект может записывать информацию в объект, если уровень секретности субъекта не выше, чем у объекта; например, конфиденциальный субъект может печатать на секретном принтере, но может печатать на несекретном.

Фиксация меток безопасности определяет и права доступа. При использовании принудительного управления нельзя разрешать доступ на уровне конкретного объекта X и субъекта Y. Например, соответствующее изменение метки безопасности субъекта Y скорее всего обеспечит доступ не только к X, но и другим объектам. Главная проблема поддержки принудительного управления — обеспечение целостности меток. Не должно быть непомеченных объектов и субъектов. В результате любых операций метки должны получать корректные значения.

Помимо рассмотренных механизмов, КБ должна предусматривать организацию:

1. идентификации и аутентификации;

2. предоставления надежного пути;

3. анализа журналов событий системы.

Предоставление надежного пути состоит в предоставлении пользователю средства проверки, что он обслуживается подлинной системой, а не «троянским конем». Надежный путь связывает пользователя с надежным ядром системы, минуя другие, потенциально опасные компоненты.

В «Оранжевой книге подчеркивается важность не только сбора информации, но и ее регулярного и целенаправленного анализа.