Защита конфиденциальной информации
Защита сведений конфиденциального характера юридически обеспечивается Перечнем сведений конфиденциального характера, введенным Указом Президента Российской Федерации от 6 марта 1997 года № 188 и рассмотренными выше законодательными актами.
Согласно Указу, к сведениям конфиденциального характера относятся: 1) сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях; 2) сведения, составляющие тайну следствия и судопроизводства; 3) служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна); 4) сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.); 5) сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна); 6) сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
4.4. Пакет руководящих документов Государственной технической
комиссии при Президенте Российской Федерации
В 1992 году Государственная техническая комиссия при Президенте РФ опубликовала пять “Руководящих документов”, посвященных проблеме защиты от несанкционированного доступа к информации, обрабатываемой средствами вычислительной техники и автоматизированными системами [51–54].
1. “Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации”. – Гостехкомиссия России, 30 марта 1992 года.
2. “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации”. – Гостехкомиссия России, 30 марта 1992 года.
3. “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации”. – Гостехкомиссия России, 30 марта 1992 года.
4. “Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники”. – Гостехкомиссия России, 30 марта 1992 года.
5. “Защита от несанкционированного доступа к информации. Термины и определения”. – Гостехкомиссия России, 30 марта 1992 года.
В 1997 году к этим документам добавился еще один “Руководящий
документ” [50].
6. “Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации”.
4.4.1. Концепция защиты средств вычислительной техники
и автоматизированных систем от несанкционированного доступа
Центральным элементом (идейной основой) набора руководящих документов Гостехкомиссии является “Концепция защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа (НСД) к информации”[52]. В этом документе излагается система взглядов и основных принципов, которые составляют основу решения проблемы защиты информации от НСД, являющейся частью общей проблемы ИБ.
В “Концепции” различаются два понятия, соответствующие двум группам критериев безопасности, – показатели защищенности средств вычислительной техники и критерии защищенности автоматизированных систем аналогично тому, как в Европейских Критериях проводится деление на продукты и системы. Более точно, “Концепция” предусматривает существование двух относительно самостоятельных и, следовательно, имеющих различие направлений в проблеме защиты информации от НСД (и только от НСД). Это направление, связанное с СВТ, и направление, связанное с АС. Различие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации.
Помимо пользовательской информации при создании автоматизированных систем появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации.
Существуют различные способы покушения на информационную безопасность: радиотехнические, акустические, программные и т.п. Среди них НСД выделяется как “доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС”. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.
В разделе 3 “Концепции” формулируются основные принципы защиты от НСД к информации.
3.1. Защита СВТ и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документов по защите от НСД к информации.
3.2. Защита СВТ обеспечивается комплексом программно-технических средств.
3.3. Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.
3.4. Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.
3.5. Программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации).
3.6. Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.
3.7. Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может либо быть периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами.
В качестве главного средства защиты от НСД к информации в разделе 6 “Концепции” рассматривается система разграничения доступа (СРД) субъектов к объектам доступа.
6.1. Обеспечение защиты СВТ и АС осуществляется: системой разграничения доступа (СРД) субъектов к объектам доступа; обеспечивающими средствами для СРД.
6.2. Основными функциями СРД являются: реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным; реализация ПРД субъектов и их процессов к устройствам создания твердых копий; изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов; управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа; реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.
6.3. Обеспечивающие средства для СРД выполняют следующие функции: идентификацию и опознавание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, реализуемому для субъекта; регистрацию действий субъекта и его процесса; предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов; реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД; тестирование; очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными; учет выходных печатных и графических форм и твердых копий в АС; контроль целостности программной и информационной части СРД.
6.4. Ресурсы, связанные как с СРД, так и с обеспечивающими ее средствами, включаются в объекты доступа.
6.5. Способы реализации СРД зависят от конкретных особенностей СВТ и АС. Возможно применение следующих способов защиты и любых их сочетаний: распределенная СРД и СРД, локализованная в программно-техническом комплексе (ядро защиты); СРД в рамках операционной системы, СУБД или прикладных программ; СРД в средствах реализации сетевых взаимодействий или на уровне приложений; использование криптографических преобразований или методов непосредственного контроля доступа; программная и (или) техническая реализация СРД.
В целом разработка Руководящих документов Гостехкомиссии России явилась следствием бурно развивающегося процесса внедрения новых информационных технологий. Документы достаточно оперативно заполнили правовой вакуум в области стандартов информационной безопасности в стране и на определенном этапе позволили решать актуальную задачу обеспечения безопасности информации. Поскольку разработка документов такого рода для России представляет достаточно новую область деятельности, можно рассматривать их как первую стадию формирования отечественных стандартов в области информационной безопасности.
На разработку этих документов большое влияние оказала “Оранжевая книга” Министерства обороны США [76], которое выразилось в ориентации на системы военного применения, в использовании единой универсальной шкалы степени защищенности и в игнорировании вопросов ценности и времени жизни информации.
К недостаткам документов, помимо отсутствия требований к защите от угроз работоспособности, относится ориентация только на противодействие НСД и отсутствие требований к адекватности реализации политики безопасности.
Собственно “политика безопасности” трактуется в этих документах исключительно как поддержание режима секретности и отсутствия НСД. Из-за этого средства защиты ориентируются на противодействие только внешним угрозам, а к структуре самой системы и ее функционированию не предъявляется никаких требований.
С точки зрения разработчиков данных руководящих документов основная и едва ли не единственная задача средств обеспечения безопасности – это защита от несанкционированного доступа к информации. Если средствам контроля и обеспечения целостности информации в них еще уделяется некоторое внимание, то поддержка работоспособности систем обработки информации (как мера защиты от угроз работоспособности) вообще не упоминается. Определенный уклон в сторону поддержания секретности объясняется тем, что данные документы были разработаны в расчете на применение в существующих информационных системах Министерства обороны и спецслужб России, а также недостаточно высоким уровнем технологий этих систем.
4.4.2. Документы Гостехкомиссии России
о модели нарушителя в автоматизированной системе
Модель нарушителя определяется в 4-м разделе Руководящего документа Гостехкомиссии России “Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации” [52].
В качестве нарушителя в этом документе рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС.
Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей. Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.
Первый уровень определяет самую низкую степень возможностей ведения диалога в АС – запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
Второй уровень задает возможность создания и запуска собственных программ с новыми функциями по обработке информации.
Третий уровень устанавливает возможность управления функционированием АС, т.е. воздействия на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.
Четвертый уровень определяет весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.
Подчеркивается, что на своем уровне нарушитель является специалистом высшей квалификации, знает все о АС и, в частности, о системе и средствах ее защиты.
4.4.3. Классификация защищенности средств вычислительной техники
и автоматизированных систем
Руководящие документы Гостехкомиссии “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации” [53] и “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации” [51] определяют основные показатели защищенности по классам СВТ и требования к классам защищенности АС.
Устанавливается семь классов защищенности СВТ от НСД к информации (табл.4.1). Самый низкий класс – седьмой (он не показан в таблице), самый высокий – первый. Классы подразделяются на четыре группы, различающиеся качественным уровнем защиты: первая группа содержит только один седьмой класс; вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы; третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы; четвертая группа характеризуется верифицированной защитой и содержит только первый класс. Седьмой класс присваивается средствам вычислительной техники, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность средства оказалась ниже уровня требований шестого класса.
Таблица 4.1
Распределение показателей защищенности
по классам средств вычислительной техники
| Наименование показателя | Класс защищенности | |||||
| Дискреционный принцип контроля доступа | + | + | + | = | + | = |
| Мандатный принцип контроля доступа | – | – | + | = | = | = |
| Очистка памяти | – | + | + | + | = | = |
| Изоляция модулей | – | – | + | = | + | = |
| Маркировка документов | – | – | + | = | = | = |
| Защита ввода и вывода на отчужденный носитель информации | – | – | + | = | = | = |
| Сопоставление пользователя с устройством | – | – | + | = | = | = |
| Идентификация и аутентификация | + | = | + | = | = | = |
| Гарантии проектирования | – | + | + | + | + | + |
| Регистрация | – | + | + | + | = | = |
| Взаимодействие пользователя с КСЗ | – | – | – | + | = | = |
| Надежное восстановление | – | – | – | + | = | = |
| Целостность КСЗ | – | + | + | + | = | = |
| Контроль модификации | – | – | – | – | + | = |
| Контроль дистрибуции | – | – | – | – | + | = |
| Гарантии архитектуры | – | – | – | – | – | + |
| Тестирование | + | + | + | + | + | = |
| Руководство пользователя | + | = | = | = | = | = |
| Руководство по КСЗ | + | + | = | + | + | = |
| Тестовая документация | + | + | + | + | + | = |
| Конструкторская (проектная) документация | + | + | + | + | + | + |
Обозначения: “–” – нет требований к данному классу; “+” – новые или дополнительные требования; “=” – требования совпадают с требованиями к СВТ предыдущего класса.
Выделяется девять классов защищенности АС от НСД к информации (табл.4.2). Каждый класс задается определенной совокупностью минимальных требований по защите. Классы разбиты на три группы, различающиеся особенностями обработки информации в АС. Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или ) хранимой на носителях различного уровня конфиденциальности. Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС.
В рамках выделенных групп установлено упорядочение требований по защите в зависимости от степени конфиденциальности информации. Класс, имеющий высшую степень защищенности для конкретной группы, обозначается NA, где N – номер группы. Следующий по убыванию степени защищенности класс обозначается NБ и т.д.
Таблица 4.2