Критерии защищенности информации

Угрозы информационной безопасности

 

Комплекс средств защиты должен противодействовать целому классу угроз несанкционированного доступа. Классификация угроз может быть проведена по ряду базовых признаков:

а) по природе возникновения: объективные природные явления или субъективные действия людей;

б) по степени преднамеренности: ошибки пользователя или персонала; преднамеренные действия для доступа к информации;

в) по степени зависимости от компьютерной системы: независимо от компьютерной системы – вскрытие шифров, хищение носителей информации; в зависимости от компьютерной системы – внедрение вирусов;

г) по степени воздействия на компьютерную систему: пассивные угрозы типа сбора данных путем выведывания или подсматривания за работой пользователей; активные угрозы – модификация информации и дезорганизация работы компьютерной системы;

д) по способу доступа к ресурсам сети: получение паролей и прав доступа, используя халатность владельцев, несанкционированное использование терминалов пользователей, физического сетевого адреса, аппаратного блока кодирования; обход средств защиты, путем загрузки посторонней операционной защиты со сменного носителя; использование недокументированных возможностей операционной системы;

е) по текущему месту расположения информации в компьютерной системе: внешние запоминающие устройства; оперативная память; сети связи и т. п.

Все угрозы информационной безопасности можно объединить в обобщающие их три группы.

1. Угроза раскрытия – возможность того, что информация станет известной тому, кому не следовало бы ее знать.

2. Угроза целостности – умышленное несанкционированное изменение (модификация или удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую.

3. Угроза отказа в обслуживании – возможность появления блокировки доступа к некоторому ресурсу вычислительной системы.

Абсолютно надежных систем защиты информации не существует. Кроме того, любая защита увеличивает время доступа к информации, поэтому степень защиты – это всегда компромисс между возможными убытками с одной стороны и удорожанием компьютерной системы и увеличением времени доступа к ресурсам с другой.

 

 

Определенные требования к аппаратному, программному и специалному программному обеспечению были разработаны в 1983 году министерством обороны США под названием «Критерии оценки безопасности компьютерных систем», получившее неофициальное, но прочно утвердившееся название «Оранжевая книга».

Критерий 1. Политика безопасности. Любая компьютерная система должна поддерживать точно определенную политику безопасности. Должны существовать правила доступа субъектов (пользователь, процесс) к объектам (любой элемент компьютерной системы, доступ к которому может быть ограничен).

Критерий 2. Метки. Каждый объект доступа в компьютерной системе должен иметь метку безопасности, которая используется в качестве исходной информации для осуществления процедур контроля доступа.

Критерий 3. Идентификация и аутентификация. Все субъекты и объекты компьютерной сети должны иметь уникальные идентификаторы, которые должны быть защищены от несанкционированного доступа, модификации и уничтожения.

Критерий 4. Регистрация и учет. Все события, происходящие в компьютерной системе должны отслеживаться и регистрироваться в защищенном объекте, доступ к которому может быть разрешен только специальной группе пользователей.

Критерий 5. Контроль корректности функционирования средств защиты. Все средства защиты должны быть независимы, но проверяться специальными техническими и программными средствами.

Критерий 6. Непрерывность защиты. Защита должна быть постоянной и непрерывной в любом режиме функционирования компьютерной сети.