Модель политики безопасности

 

В настоящее время лучше всего изучены два вида политики безопасности: дискреционная и мандатная, основанные, соответственно на избирательном и полномочном способах управления доступом.

Следует отметить, что средства защиты, предназначенные для реализации какого-либо из названных способа управления доступом, только предоставляют возможности надежного управления доступом или информационными потоками. Определение прав доступа субъектов к объектам и/или информационным потокам (полномочий субъектов и атрибутов объектов, присвоение меток критичности и т.д.) входит в компетенцию администрации системы.

Мандатный контроль над доступом (Mandatory Access Control, MAC) в систему означает независимость доступности информации от её владельца. Как правило, в подобных случаях контроль за доступом реализуется исходя из свойств самой информации и свойств желающего получить к ней доступ согласно независимым от них обоих правилам.

Характерен для моделей, предназначенных для реализации в военных и государственных системах защиты.

Строго говоря, критерии определения того, к какому классу относится тот или иной метод контроля над доступом, далеко не всегда дают определенный результат, но являются весьма точными для большинства классических моделей политики безопасности.

Основой дискреционной (дискретной) политики безопасности является дискреционное управление доступом (Discretionary Access Control -DAC), которое определяется двумя свойствами:

·   права доступа субъекта к объекту системы определяются на основании некоторого внешнего по отношению к системе правила;

·   все субъекты и объекты должны быть идентифицированы.

В данной курсовой работе рассмотрена модель дискреционной политики

безопасности предприятия.

Дискреционное управление доступом - это метод ограничения доступа к объектам, который основан на том, что некоторый субъект (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту.

Классической дискреционной моделью является модель безопасности Харрисона-Руззо-Ульмана.

Данная модель реализует дискреционное (произвольное) управление доступом субъектов к объектам и контроль за распространением прав доступа.

Обозначим:

S - множество субъектов (осуществляют доступ к информации)- множество объектов, содержащих защищаемую информацию

- конечное множество прав доступа, означающих полномочия на выполнение соответствующих действий (чтение, запись, выполнение)

Принято считать, что  , т.е. субъекты одновременно являются и объектами (это сделано для того, чтобы включить в область действия модели отношения между субъектами).

Поведение системы моделируется с помощью понятия состояния.

 

- пространство состояний системы

- матрица прав доступа, описывающая текущие права доступа субъектов к объектам (строки - субъекты, столбцы - объекты)

- текущее состояние системы

Любая ячейка матрицы  содержит набор прав доступа s к объекту o, принадлежащих множеству прав доступа R.

Для того чтобы включить в область действия модели и отношения между субъектами, принято считать, что все субъекты одновременно являются и объектами. Поведение системы моделируется с помощью понятия состояния. Пространство состояний системы образуется декартовым произведением множеств составляющих ее объектов, субъектов и прав - O, S и R. Текущее состояние системы Q в этом пространстве определяется тройкой, состоящей из множества субъектов, множества объектов и матрицы прав доступа М, описывающей текущие права доступа субъектов к объектам, Q=[0,S,M]. Строки матрицы соответствуют субъектам, а столбцы - объектам, поскольку множество объектов включает в себя множество субъектов, матрица имеет вид прямоугольника. Любая ячейка матрицы M=[S,O] содержит набор прав субъекта S к объекту O, принадлежащих множеству прав доступа R. Поведение системы во времени моделируется переходами между различными состояниями. Переход осуществляется путем внесения изменений в матрицу М.

В классической модели допустимы только следующие элементарные операции:

Ø enter r M[S,O] - добавление субъекту S прав R для объекта O;

Данная операция вводит право r в существующую ячейку матрицы доступа. Содержимое ячейки рассматривается как множество, т.е. если это право уже имеется, то ячейка не изменяется. Операция enter называется монотонной, т.к. она только добавляет права в матрицу и ничего не удаляет.

Ø delete r from M[S,O] - удаление у субъекта S права r для объекта O;

Данная операция удаляет право r из ячейки матрицы доступа, если оно там присутствует. Содержимое ячейки рассматривается как множество, т.е. если удаляемое право отсутствует в данной ячейке, то данная операция ничего не делает. Операция delete называется немонотонной, т.к. она удаляет информацию из матрицы.

Ø create subject S - создание нового субъекта S;

Ø create object O - создание нового объекта O;

Ø destroy subject S - удаление существующего субъекта S;

Ø destroy object о - удаление существующего объекта O.

Формальное описание дискретной системы состоит из следующих элементов:

1. Конечный набор прав доступа R = {r₁,…,r_N};

2. Конечные наборы исходных субъектов S

 

S_o ={S₁,..., Sj},

О_o={O₁,..., O_M},

 

где S_о Ì O_o;

3. Исходная матрица доступа, содержащая права доступа субъектов к объектам - М_o;

4. Конечный набор команд C={a(х₁,...,x_k)}, - каждая из команд a состоит из условий выполнения и интерпретации в терминах перечисленных элементарных операций.

Поведение системы во времени моделируется с помощью последовательности состояний Q, в которой каждое последующее состояние является результатом применения некоторой команды из множества С к предыдущему Q_n+1 = C_n(Q_n). Таким образом для заданного начального состояния только от условий команд из С и составляющих их операций зависит, сможет ли система попасть в то или иное состояние, или нет. Каждое состояние определяет отношения доступа, которые существуют между сущностями системы в виде множества субъектов, объектов и матрицы прав. Поскольку для обеспечения безопасности необходимо наложить запрет на некоторые отношения доступа, для заданного начального состояния системы должна существовать возможность определить множество состояний, в которые она сможет из него попасть.

Это позволит задавать такие начальные условия, при которых система никогда не сможет попасть в состояния, нежелательные с точки зрения безопасности.

Поэтому критерий безопасности модели Харрисона-Руззо-Ульмана формулируется следующим образом:

Для заданной системы начальное состояние Q_o=(S_o,0_o,M) является безопасным относительно права r, если не существует применимой к Q_o последовательности команд, в результате которой право r будет занесено в ячейку матрицы М, в которой оно отсутствовало в состоянии Q_o.

Положительные стороны модели Харрисона-Руззо-Ульмана:

· данная модель является простой в реализации (т.к. не требует применения сложных алгоритмов);

·   данная модель является эффективной в управлении (т.к. позволяет управлять полномочиями пользователей с точностью до операции над объектом);

·   критерий безопасности данной модели является весьма сильным в практическом плане (т.к. позволяет гарантировать недоступность определенной информации для пользователей, которым изначально не выданы соответствующие полномочия).

Отрицательные стороны модели Харрисона-Руззо-Ульмана:

· доказано, что в общем случае не существует алгоритма, который может для произвольной системы, ее начального состояния  и общего правила r решить, является ли данная информация безопасной;

·   существует уязвимость к атаке с помощью “троянского коня” (т.к. в дискреционных моделях контролируются только операции доступа субъектов к объектам, а не потоки информации между ними).

Матрица доступа

Основой дискреционной политики безопасности является избирательное управление доступом, которое подразумевает, что:

■ все субъекты и объекты системы должны быть идентифицированы; - права доступа субъекта к объекту системы определяются на основании некоторого правила (свойство избирательности).

Для описания свойств избирательного управления доступом применяется модель системы на основе матрицы доступа (МД), иногда ее называют матрицей контроля доступа. Матрица доступа представляет собой прямоугольную матрицу, в которой объекту системы соответствует строка, а субъекту столбец. На пересечении столбца и строки матрицы указывается тип разрешенного доступа субъекта к объекту. Обычно выделяют такие типы доступа субъекта к объекту, как "доступ на чтение", "доступ на запись", "доступ на исполнение" и др.

Множество объектов и типов доступа к ним субъекта может изменяться в соответствии с некоторыми правилами, существующими в данной системе. Определение и изменение этих правил также является задачей МД.

Начальное состояние системы определяется матрицей доступа, все действия регламентированы и зафиксированы в данной матрице.

R - чтение из объекта;

W - запись в объект;

CR - создание объекта;

D - удаление объекта;

“+” - определяет права доступа для данного субъекта;

“-” - не определяет права доступа для данного субъекта.

Состояние системы считается безопасным, если в соответствии с политикой безопасности субъектам разрешены только определённые типы доступа к объектам (в том числе отсутствие доступа)

Объектами защиты на предприятии являются:

О1- Технические средства приема, передачи и обработки информации;

О2-Коммерческая тайна

O3-Персональные данные клиентов;

O4-Персональные данные работников;

О5-Документированная информация;

О6-Личные дела работников, клиентов;

О7-Электронные базы данных работников и клиентов;

О8-Бумажные носители и электронные варианты приказов, постановлений планов, договоров, отчетов, составляющих коммерческую тайну;

О9-Средства защиты информации (Антивирусные программы, система сигнализации, система противопожарной охраны и др.);

О10-Личные дела бывших клиентов.

Субъектами доступа к ресурсам предприятия являются:

S1-Директор;

S2-Главный бухгалтер;

S3-Специалист

 

Табл.2. Матрица доступа

	О1	О2	О3	О4	О5	О6	О7	О8	О9	О10
S1	R	R,W	R	R,W,CR,D+	R,W	R,W,CR,D+	R,W,CR,D	R,W	R,CR,W	R
S2	R,W	R	-	R	R+	R	-	R	R	-
S3	R	R	R,W	-	-	R	R,W,CR,D	R	R	R,W

Классификация ИСПД

Персональный данные

В целях дифференцированного подхода к обеспечению безопасности ПДн в зависимости от объема обрабатываемых ПДн и угроз безопасности жизненно важным интересам личности, общества и государства оператором ИСПДн проводится классификация ИСПДн в соответствии с «Порядком проведения классификации информационных систем персональных данных», утвержденным приказом ФСТЭК России, ФСБ России и Мининформсвязи России от 13 февраля 2008г. № 55/86/20. Порядок определяет проведение классификации информационных систем персональных данных, представляющих собой совокупность персональных данных, содержащихся в базах данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации (далее - информационные системы). При проведении классификации информационной системы учитываются следующие исходные данные:

·         категория обрабатываемых в информационной системе персональных данных - X пд:

 

Табл.3. Категории персональных данных, обрабатываемых в ИС

категория 1	персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни
категория 2	персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1
категория 3	персональные данные, позволяющие идентифицировать субъекта персональных данных
категория 4	обезличенные и (или) общедоступные персональные данные

 

·         объем обрабатываемых персональных данных (количество субъектов персональных данных, персональные данные которых обрабатываются в информационной системе) - X нпд:

·         1 - в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;

·         2 - в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;

·         3 - в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.

·         заданные оператором характеристики безопасности персональных данных, обрабатываемых в информационной системе:

·         Типовые информационные системы - информационные системы, в которых требуется обеспечение только конфиденциальности персональных данных.

·         Специальные информационные системы - информационные системы, в которых вне зависимости от необходимости обеспечения конфиденциальности персональных данных требуется обеспечить хотя бы одну из характеристик безопасности персональных данных, отличную от конфиденциальности (защищенность от уничтожения, изменения, блокирования, а также иных несанкционированных действий).

·         структура информационной системы:

·         автономные (не подключенные к иным информационным системам) комплексы технических и программных средств, предназначенные для обработки персональных данных (автоматизированные рабочие места);

·         комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы);

·         комплексы автоматизированных рабочих мест и (или) локальных информационных систем, объединенных в единую информационную систему средствами связи с использованием технологии удаленного доступа (распределенные информационные системы).

·         наличие подключений информационной системы к сетям связи общего пользования и (или) сетям международного информационного обмена (имеющие подключения / не имеющие подключений);

·         режим обработки персональных данных (однопользовательские / многопользовательские);

·         режим разграничения прав доступа пользователей информационной системы (без разграничения прав доступа / с разграничением прав доступа);

·         местонахождение технических средств информационной системы (в пределах Российской Федерации / за пределами Российской Федерации).

 

Табл.4. Классы ИСПДн

Класс 1 (К1)	ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных
Класс 2 (К2)	ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных
Класс 3 (К3)	ИСПДн, для. которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных
Класс 4 (К4)	ИСПДн, для которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных

 

Класс информационной системы определяется в соответствии с таблицей 4.

 

Табл.5. Определение класса ИС

Х пд \ Х нпд	3	2	1
категория 4	К4	К4	К4
категория 3	К3	К3	К2
категория 2	К3	К2	К1
категория 1	К1	К1	К1

 

Соответственно, категория персональных данных - 2, объем обрабатываемых данных - от 1000 до 10 000 субъектов, и класс ИС - К3, т.е. ИСПДн, для. которых нарушение заданной характеристики безопасности ПДн, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных.

Исходя из приказа ФСТЭК РФ от 05.02.2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных», и особенностей предприятия можно сделать следующий вывод:

Для информационных систем 3 класса при многопользовательском режиме обработки персональных данных и разных правах доступа к ним пользователей применяются следующие основные методы и способы защиты информации:

а) управление доступом:

идентификация и проверка подлинности пользователя при входе в систему по паролю условно-постоянного действия длинной не менее шести буквенно-цифровых символов;

б) регистрация и учет:

регистрация входа (выхода) пользователя в систему (из системы) либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения информационной системы. В параметрах регистрации указываются дата и время входа (выхода) пользователя в систему (из системы) или загрузки (останова) системы, результат попытки входа (успешная или неуспешная), идентификатор (код или фамилия) пользователя, предъявленный при попытке доступа;

учет всех защищаемых носителей информации с помощью их маркировки и занесение учетных данных в журнал учета с отметкой об их выдаче (приеме);

в) обеспечение целостности:

обеспечение целостности программных средств системы защиты персональных данных, обрабатываемой информации, а также неизменность программной среды. При этом целостность программных средств проверяется при загрузке системы по контрольным суммам компонентов средств защиты информации, а целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

г) физическая охрана информационной системы (устройств и носителей информации), предусматривающая контроль доступа в помещения информационной системы посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения информационной системы и хранилище носителей информации;

д) периодическое тестирование функций системы защиты персональных данных при изменении программной среды и пользователей информационной системы с помощью тест-программ, имитирующих попытки несанкционированного доступа;

е) наличие средств восстановления системы защиты персональных данных, предусматривающих ведение двух копий программных компонент средств защиты информации, их периодическое обновление и контроль работоспособности.

Требования по защите информации от НСД

 

Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

·   управления доступом;

·   регистрации и учета;

·   криптографической;

·   обеспечения целостности.

Рассмотрим формализованные требования к защите компьютерной информации АС.

Существует 3 группы АС с включающими в себя требованиями по защите этих систем. Но, учитывая структуру нашего предприятия, мы будем рассматривать первую группу АС (в соответствии с используемой в классификацией), как включающую в себя наиболее распространенные многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. Причем не все пользователи имеют право доступа ко всей информации АС.

Требования к АС первой группы.

Обозначения:

" - " - нет требований к данному классу; " + " - есть требования к данному классу.

 

Табл.6. Требования к АС

Подсистемы и требования	Классы
	1Д	1Г	1В	1Б	1А
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему	+	+	+	+	+
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ	-	-	+	-	+
к программам	-	+	+	+	+
к томам, каталогам, файлам, записям, полям записей	-	+	+	+	+
1.2. Управление потоками информации	-	-	+	+	+
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему (узел сети)	+	+	+	+	+
выдачи печатных (графических) выходных документов	-	+	+	+	+
запуска (завершения) программ и процессов (заданий, задач)	-	+	+	+	+
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи	-	+	+	+	+
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей	-	+	+	+	+
изменения полномочий субъектов доступа	-	-	+	+	+
создаваемых защищаемых объектов доступа	-	-	+	+	+
2.2. Учет носителей информации	+	+	+	+	+
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей	-	+	+	+	+
2.4. Сигнализация попыток нарушения защиты	-	-	+	+	+
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации	+	-	-	+	+
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах	-	-	-	-	+
3.3. Использование аттестованных (сертифицированных) криптографических средств	-	-	-	+	+
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации	+	+	+	+	+
4.2. Физическая охрана средств вычислительной техники и носителей информации	+	+	+	+	+
4.3. Наличие администратора (службы) защиты информации в АС	-	-	+	+	+
4.4. Периодическое тестирование СЗИ НСД	+	+	+	+	+
4.5. Наличие средств восстановления СЗИ НСД	+	+	+	+	+

 

Учитывая структуру нашей организации, имеет смысл остановиться лишь на одном классе - 1Г, так как 1Г это класс, задающий необходимые требования для обработки персональной информации, хранящейся в клиентской базе. В данном случае этот класс является наиболее подходящим для специфики нашего предприятия.

 

Требования к классу защищенности 1Г

 

Подсистема управления доступом

§ должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия, длиной не менее шести буквенно-цифровых символов;

§ должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам;

§ должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

§ должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Подсистема регистрации и учета

§ должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС. В параметрах регистрации указываются:

§ дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

§ результат попытки входа: успешная или неуспешная - несанкционированная;

§ идентификатор (код или фамилия) субъекта, предъявленный при попытке доступа;

§ код или пароль, предъявленный при неуспешной попытке;

§ должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию. В параметрах регистрации указываются:

§ дата и время выдачи (обращения к подсистеме вывода);

§ спецификация устройства выдачи [логическое имя (номер) внешнего устройства];

§ краткое содержание (наименование, вид, шифр, код) и уровень конфиденциальности документа;

§ идентификатор субъекта доступа, запросившего документ;

§ должна осуществляться регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов. В параметрах регистрации указываются:

§ дата и время запуска;

§ имя (идентификатор) программы (процесса, задания);

§ идентификатор субъекта доступа, запросившего программу (процесс, задание);

§ результат запуска (успешный, неуспешный - несанкционированный);

§ должна осуществляться регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указываются:

§ дата и время попытки доступа к защищаемому файлу с указанием ее результата: успешная, неуспешная - несанкционированная;

§ идентификатор субъекта доступа;

§ спецификация защищаемого файла;

§ должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указываются:

§ дата и время попытки доступа к защищаемому объекту с указанием ее результата: успешная, неуспешная - несанкционированная;

§ идентификатор субъекта доступа;

§ спецификация защищаемого объекта [логическое имя (номер)];

§ должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку);

§ учет защищаемых носителей должен проводиться в журнале (картотеке) с регистрацией их выдачи (приема);

§ должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется однократной произвольной записью в освобождаемую область памяти, ранее использованную для хранения защищаемых данных (файлов).

Подсистема обеспечения целостности

§ должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды. При этом:

§ целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ;

§ целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;

§ должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;

§ должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест - программ, имитирующих попытки НСД;

§ должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.