Читайте также:
|
В самом общем виде требования к защите могут быть определены как предотвращение угроз информации, по крайней мере, тех из них, проявление которых может привести к существенно значимым последствиям. Посколькупоказатели уязвимости информации носят вероятностный характер, то и требования к защите должны выражаться терминами и понятиями теории вероятностей.
По аналогии с требованиями к надежности технических систем, требования к защите могут быть сформулированы в виде условия:
, (4.1)
где Pз – оценка реальной вероятности защищенности информации, а 
– требуемый уровень защищенности.
С требованиями, выраженными в таком виде, можно оперировать с использованием методов классической теории систем. Однако на практике решение проблем защиты информации сопряжено с исследованиями и разработкой таких систем и процессов, в которых и конкретные методы, и общая идеология классической теории систем могут быть применены лишь с большими оговорками. Для повышения степени адекватности применяемых моделей реальным процессам в этом случае необходим переход от концепции создания инструментальных средств получения необходимых решений на инженерной основе к концепции создания методологического базиса и инструментальных средств для динамического оптимального управления соответствующими процессами (иными словами необходим переход от экстенсивных к интенсивным способам решения проблем защиты информации).
Проблема определения требований к защите информации имеет комплексный характер и может рассматриваться как в организационном, так и в техническом аспектах. Причем в условиях автоматизированной обработки информации существует большое количество каналов несанкционированного ее получения, которые не могут быть перекрыты без применения специфических технических и программно-аппаратных средств. Это серьезно повышает удельный вес технических аспектов и приводит к необходимости определения требований к системам защиты, содержащим указанные средства.
Представляется, что наиболее подходящим здесь может оказаться подход, основанный на выделении некоторого количества типовых систем защиты, рекомендуемых для использования в тех или иных конкретных условиях и содержащих определенные механизмы защиты, т.е. подход, базирующийся на создании системы стандартов в области защиты информации.
Основу такой системы, действующей в настоящее время в Российской Федерации, составляют руководящие документы Гостехкомиссии России, разработанные в начале 90-х годов и дополненные впоследствии рядом нормативных актов. Эти документы были созданы в результате исследований и практической деятельности в данной области министерств оборонных отраслей промышленности и Министерства обороны СССР, и с учетом «Критериев оценки доверенных компьютерных систем» министерства обороны США, которые достаточно широко известны под названием «Оранжевая книга», и которые вместе с Европейскими и Канадскими критериями легли в последнее время в основу «Общих критериев» (стандарта ISO 15408–99 «Критерии оценки безопасности информационных технологий»).
К указанным документам Гостехкомиссии России относятся:
руководящий документ «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации», 1992 г.;
руководящий документ «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники», 1992 г.;
руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения», 1992 г.;
руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», 1992 г.;
руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», 1992 г.;
руководящий документ «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», 1997 г.;
руководящий документ «Защита от НСД. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не декларированных возможностей», 1998 г.;
руководящий документ «Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации», 1998 г.
Одновременно Россия использует ряд международных стандартов, принятых в качестве прямого заимствования и ориентированных на обеспечение информационной безопасности при взаимодействии открытых систем.
Кроме того, имеются стандарты, касающиеся защиты информации от ее утечки через побочные электромагнитные излучения и наводки (ПЭМИН).
Если не касаться вопросов криптографии и защиты информации от ее утечки через ПЭМИН, которые решаются во всех странах на национальном уровне, общие вопросы обеспечения безопасности информационных технологий развиваются во всех странах параллельно, а в последние годы совместно. Основу обеспечения безопасности информационных технологий составляет решение трех задач: обеспечение секретности (конфиденциальности), обеспечение целостности и обеспечение доступности. Эта основа заложена в стандартах, касающихся обеспечения безопасности информационных технологий, практически всех стран.
Во всех перечисленных выше документах Гостехкомиссии России использован методологический подход, принятый в свое время при разработке «Оранжевой книги». В последней, в частности, предусмотрено шесть фундаментальных требований, которым должны удовлетворять вычислительные системы, применяющиеся для обработки конфиденциальной информации. Эти требования касаются стратегии защиты, подотчетности, а также гарантий защиты.
Из других разработок, основанных на этом же подходе, могут быть также названы предложения министерства торговли и национального бюро стандартов США, министерства промышленности Великобритании и некоторые другие [45-47].
Аналогичный подход реализован и в упоминавшихся выше «Общих критериях». Анализ этого международного стандарта, проведенный российскими специалистами, свидетельствует о том, что он полностью соответствует по сути сложившейся в России методологии защиты информации от НСД. Однако по уровню систематизации, полноте и степени детализации требований, универсальности и гибкости «Общие критерии» несколько превосходят Российские стандарты.
Наличие представленных методик определения требований по защите информации и закрепление их в официальных документах создает достаточно надежную базу для решения практических проблем защиты. Однако нетрудно видеть, что с точки зрения современной постановки задачи защиты информации все они являются недостаточными по ряду причин, а именно:
1) методики ориентированы на защиту информации только в средствах вычислительной техники и практически не затрагивают объектовый, а тем более региональный уровень обеспечения информационной безопасности;
2) в используемых подходах учитываются далеко не все факторы, оказывающие существенное влияние на уязвимость информации;
3) в научном плане методики обоснованы недостаточно (за исключением требований к защите информации от утечки по техническим каналам).
Возможные подходы к преодолению указанных недостатков были предложены в учебнике «Основы защиты информации» [20]. Учитывая их принципиальное значение для совершенствования стандартов и методических документов в условиях современной постановки задачи защиты информации, представляется целесообразным рассмотреть эти подходы более подробно и в данной книге, тем более что за прошедшее время они были уточнены и приближены к потребностям практики.
Рассмотрим предварительно подходы к оценке параметров защищаемой информации, что позволит нам в дальнейшем обоснованно подойти к классификации возможных ситуаций защиты.
Дата добавления: 2015-09-10; просмотров: 89 | Поможем написать вашу работу | Нарушение авторских прав |