 |
Принудительное управление доступом
|
|
|
|
Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта.
Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта.
Субъект может записывать информацию в объект, если метка безопасности объекта доминирует над меткой субъекта. В частности, «конфиденциальный» субъект может писать в секретные файлы, но не может — в несекретные (разумеется, должны также выполняться ограничения на набор категорий).
Ни при каких операциях уровень секретностиинформации не должен понижаться, хотя обратный процесс вполне возможен.
Этот способ управления доступом называется принудительным, т.к. он не зависит от воли субъектов, на месте которых могут оказаться даже системные администраторы.
После того, как зафиксированы метки безопасности субъектов и объектов, оказываются зафиксированными и права доступа.
В терминах принудительного управления нельзя выразить предложение «разрешить доступ к объектуXещё и для пользователяV». Конечно, можно изменить метку безопасности пользователя V, но тогда он скорее всего получит доступ ко многим дополнительным объектам, а не только к X. Принудительное управление доступом реализовано во многих вариантах операционных систем и СУБД, отличающихся повышенными мерами безопасности.
Независимо от практического использования принципы принудительного управления являются удобным методологическим базисом для начальной классификации информации и распределения прав доступа. Удобнее мыслить в терминах уровней секретности и категорий, чем заполнять неструктурированную матрицу доступа. Впрочем, в реальной жизни добровольное и принудительное управление доступом сочетается в рамках одной системы, что позволяет использовать сильные стороны обоих подходов.
|
|
|
Разделы и классы безопасности.
Разделы безопасности
Разделы С, В и А иерархически разбиты на серии подразделов, называющиеся классами: С1, С2, В1, В2, ВЗ и А1. Каждый раздел и класс расширяет или дополняет требования указанные в предшествующем разделе или классе.
D— Минимальная защита
Системы, безопасность которых была оценена, но оказалась не удовлетворяющей требованиям более высоких разделов.
С — Дискреционная защита
С1 —Дискреционное обеспечение секретности:
Разделение пользователей и данных
Дискреционное управление доступом, допускающее принудительное ограничение доступа на индивидуальной основе.
С2 — Управление доступом
Более чётко оформленное дискреционное управление доступом.
Индивидуальные учётные записи, вход под которыми возможен через процедуру авторизации.
Журнал контроля доступа к системе.
Изоляция ресурсов.
В — Мандатная защита
В1 — Защита с применением мета-безопасности:
Мандатное управление доступом к выбранным субъектам и объектам.
Все обнаруженные недостатки должны быть устранены или убраны каким-либо другим способом.
Маркировка данных
В2 — Структурированная защита
Чётко определённая и документированная модель правил безопасности.
Применение расширенного дискреционного и мандатного управления доступом ко всем объектам и субъектам.
Скрытые каналы хранения.
ВЗ — Домены безопасности
Соответствие требованиям монитора обращений.
Структурирование для исключения кода не отвечающего требованиям обязательной политики безопасности.
Поддержка администратора системы безопасности.
|
|
|
Примером подобной системы является ХТ8-300, предшественница ХТ8-400.
А — Проверенная защита
А1 —Провереиный дизайн.
По функциям идентично ВЗ.
Формализованный дизайн и проверенные техники, включающие высоко уровневую спецификацию.
Формализованные процедуры управления и распространения.
Выше А1
Системная архитектура демонстрирующая, что требования самозащиты и полноценности для мониторов обращений были выполнены в соответствии с «Базойбезопасных вычислений» (коллекцией программного и аппаратного обеспечения необходимых для обязательной политики безопасности в операционных системах ориентированных на безопасность).
Классы безопасности
В «Оранжевой книге» определены подходы к ранжированию информационных систем по степени надежности (безопасности).
В критериях впервые введены четыре уровня доверия — D, С, В и А, которые подразделяются на классы. Классов безопасности всего шесть — С1, С2, В1, В2, ВЗ, А1 (перечислены в порядке ужесточения требований).
Наивысшей безопасностью обладает уровень А. Каждый класс расширяет или дополняет требования, указанные в предшествующем классе и представляет собой значительные отличия в доверии индивидуальным пользователям или организациям.
По мере перехода от уровня Ск А к надежности систем предъявляются все более жесткие требования. Уровни С и В подразделяются на классы (С1, С2, В1, В2, ВЗ) с постепенным возрастанием надежности. Таким образом, всего практически используются шесть классов безопасности – С1, С2, В1, В2, ВЗ, А1. Чтобы система в результате процедуры сертификации могла быть отнесена к некоторому классу, ее политика безопасности и гарантированность должны удовлетворять приводимым далее требованиям. Поскольку при переходе к каждому следующему классу требования только добавляются, то дополнительно вписываются только новые, что присуще данному классу, группируя требования в согласии с предшествующим изложением.
Каждый класс безопасности включает набор требований с учетом элементов политики безопасности и требований к гарантированности.
УровеньD
Данный уровень предназначен для систем, признанных неудовлетворительными.
Уровень С
Иначе — произвольное управление доступом.
|
|
|
Класс С1
Политика безопасности и уровень гарантированности для данного класса должны удовлетворять следующим важнейшим требованиям:
· доверенная вычислительная база должна управлять доступом именованных пользователей к именованным объектам;
· пользователи должны идентифицировать себя, причем аутентификационная информация должна быть защищена от несанкционированного доступа;
· доверенная вычислительная база должна поддерживать область для собственного выполнения, защищенную от внешних воздействий;
· должны быть в наличии аппаратные или программные средства, позволяющие периодически проверять корректность функционирования аппаратных и микропрограммных компонентов доверенной вычислительной базы;
· защитные механизмы должны быть протестированы (нет способов обойти или разрушить средства защиты доверенной вычислительной базы);
· должны быть описаны подход к безопасности и его применение при реализации доверенной вычислительной базы.
Класс С2
(в дополнение к С1):
· права доступа должны гранулироваться с точностью до пользователя. Все объекты должны подвергаться контролю доступа.
· при выделении хранимого объекта из пула ресурсов доверенной вычислительной базы необходимо ликвидировать все следы его использования.
· каждый пользователь системы должен уникальным образом идентифицироваться. Каждое регистрируемое действие должно ассоциироваться с конкретным пользователем.
· доверенная вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, относящейся к доступу к объектам, контролируемым базой.
· тестирование должно подтвердить отсутствие очевидных недостатков в механизмах изоляции ресурсов и защиты регистрационной информации.
Уровень В
Также именуется — принудительное управление доступом.
Класс В1
(в дополнение к С2):
· доверенная вычислительная база должна управлять метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом.
· доверенная вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам.
|
|
|
· доверенная вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств.
· группа специалистов, полностью понимающих реализацию доверенной вычислительной базы, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию.
· должна существовать неформальная или формальная модель политики безопасности, поддерживаемой доверенной вычислительной базой.
Класс В2
(в дополнение к В1):
· снабжаться метками должны все ресурсы системы (например, ПЗУ), прямо или косвенно доступные субъектам.
· к доверенной вычислительной базе должен поддерживаться доверенный коммуникационный путь для пользователя, выполняющего операции начальной идентификации и аутентификации.
· должна быть предусмотрена возможность регистрации событий, связанных с организацией тайных каналов обмена с памятью.
· доверенная вычислительная база должна быть внутренне структурирована на хорошо определенные, относительно независимые модули.
· системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена с памятью и оценить максимальную пропускную способность каждого выявленного канала.
· должна быть продемонстрирована относительная устойчивость доверенной вычислительной базы к попыткам проникновения.
· модель политики безопасности должна быть формальной. Для доверенной вычислительной базы должны существовать описательные спецификации верхнего уровня, точно и полно определяющие её интерфейс.
· в процессе разработки и сопровождения доверенной вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изменений в описательных спецификациях верхнего уровня, иных архитектурных данных, реализационной документации, исходных текстах, работающей версии объектного кода, тестовых данных и документации.
· тесты должны подтверждать действенность мер по уменьшению пропускной способности тайных каналов передачи информации.
Класс ВЗ
(в дополнение к В2):
1) для произвольного управления доступом должны обязательно использоваться списки управления доступом с указанием разрешенных режимов.
Уровень А
Носит название — верифицируемая безопасность. Класс А1
(в дополнение к ВЗ):
1)тестирование должно продемонстрировать, что реализация доверенной вычислительной базы соответствует формальным спецификациям верхнего уровня.
|
|
|
· помимо описательных, должны быть представлены формальные спецификации верхнего уровня. Необходимо использовать современные методы формальной спецификации и верификации систем.
· механизм конфигурационного управления должен распространяться на весь жизненный цикл и все компоненты системы, имеющие отношение к обеспечению безопасности.
· должно быть описано соответствие между формальными спецификациями верхнего уровня и исходными текстами.
Краткая классификация
Такова классификация, введенная в «Оранжевой книге». Коротко её можно сформулировать так:
уровень С — произвольное управление доступом;
уровень В — принудительное управление доступом;
уровень А — верифицируемая безопасность.
Конечно, в адрес «Критериев...» можно высказать целый ряд серьёзных замечаний (таких, например, как полное игнорирование проблем, возникающих в распределенных системах). Тем не менее, следует подчеркнуть, что с публикацией «Оранжевой книги» появился общепризнанный понятийный базис, без которого даже обсуждение проблем ИБ было бы затруднительным.
Однако следует отметить, что описанный подход был ориентирован на оценку отдельных программно-технических комплексов, поэтому в 1987 году Национальным центром компьютерной безопасности США была дополнительно опубликована интерпретация «Оранжевой книги» для сетевых конфигураций.
Многие требования «Оранжевой книги» уже устарели. Например, согласно ей, минимальная длина пароля, равная шести символам, считается безопасной. В те времена, когда писалась «Оранжевая книга», мощность вычислительной техники была невысокой, и указанная длинна паролей действительно обеспечивала безопасность, но на современном компьютере пароль такой длины может быть подобран всего за несколько минут.
В «Оранжевой книге» не уделяется должного внимания некоторым важным в настоящие время аспектам защиты систем, и объясняется это тем, что соответствующие атаки на защищенные системы были изобретены уже после её написания.
В тоже время, следует отметить, что огромный идейный потенциал «Оранжевой книги» пока во многом остается невостребованным. Прежде всего это касается концепции технологической гарантированности, охватывающей весь жизненный цикл системы — от выработки спецификаций до фазы эксплуатации. При современной технологии программирования результирующая система не содержит информации, присутствующей в исходных спецификациях, теряется информация о семантике программ.
1.3.2 Стандарты ISO/IEC 17799:2000 (BS 7799-1:2000)
Прародитель международных стандартов управления информационной безопасностью — британский стандарт BS 7799.
Первая его часть — BS 7799-1 «Практические правила управления информационной безопасностью» — была разработана BSI в 1995 г. по заказу правительства Великобритании. Как следует из названия, этот документ является практическим руководством по управлению информационной безопасностью в организации. Он описывает 10 областей и 127 механизмов контроля, необходимых для построения СУИБ, определенных на основе лучших примеров из мировой практики. В 1998 году появилась вторая часть этого британского стандарта — BS 7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению», определившая общую модель построения СУИБ и набор обязательных требований, на соответствие которым должна производиться сертификация. С появлением второй части BS 7799, определившей, что должна из себя представлять СУИБ, началось активное развитие системы сертификации в области управления безопасностью. В 1999 году обе части BS 7799 были пересмотрены и гармонизированы с международными стандартами систем управления ISO 9001 и ISO 14001, а год спустя технический комитет ISO без изменений принял BS 7799-1 в качестве международного стандарта ISO/IEC 17799:2000.
Вторая часть BS 7799 пересматривалась в 2002 г., а в конце 2005 г. была принята ISO в качестве международного стандарта ISO/IEC 27001:2005 «Информационные технологии — Методы обеспечения безопасности — Системы управления информационной безопасностью — Требования». В это же время была обновлена и первая часть стандарта. С выходом ISO 27001 спецификации СУИБ приобрели международный статус, и теперь следует ожидать значительного повышения роли и престижности СУИБ, сертифицированных по стандарту ISO 27001.
Семейство международных стандартов управления безопасностью 2700х продолжает активно развиваться. В соответствии с планами ISO оно будет включать стандарты, определяющие требования к СУИБ, систему управления рисками, метрики и измерения эффективности механизмов контроля, а также руководство по внедрению. Для этого семейства стандартов будет использоваться последовательная схема нумерации, начиная с 27000 и далее. ISO/IEC 17799:2005 в последующем будет переименован в ISO/IEC 27002. В разработке находится также проект стандарта ISO/IEC 27000, который будет содержать основные принципы и определения и будет унифицирован с популярными стандартами управления ИТ: COBIT и ITIL.
В начале 2006 г. был принят новый британский национальный стандарт в области управления рисками информационной безопасности BS 7799-3, который в дальнейшем получит индекс 27005. Ведется также работа над стандартами по внедрению и измерению эффективности СУИБ, которые получат индексы соответственно 27003 и 27004. Выпуск этих международных стандартов запланирован на 2007 год.
Согласно данным группы пользователей СУИБ, поддерживающей международный реестр сертификатов, по состоянию на август 2006 года в мире зарегистрировано более 2800 организаций из 66 стран, сертифицированных по ISO 27001 (BS 7799), в том числе и четыре российские компании. Среди сертифицированных организаций — крупнейшие ИТ-компании, организации банковской и финансовой сферы, предприятия ТЭК и телекоммуникационного сектора. Ожидается, что количество обладателей сертификатов в России в 2007 году достигнет нескольких десятков.
BS 7799 постепенно стал «главным стандартом информационной безопасности». Однако, когда в августе 2000 г. в ISO обсуждалась первая редакция международного стандарта ISO 17799, с трудом удалось достичь консенсуса. Документ вызвал массу критических замечаний со стороны представителей ведущих ИТ-держав, которые утверждали, что он не отвечает основным критериям, предъявляемым к международным стандартам.
«Не было даже возможности сравнить этот документ со всеми остальными работами по безопасности, когда-либо рассматриваемыми в ISO»,- говорит Жене Трой, представитель США в техническом комитете ISO.
Сразу несколько государств, включая США, Канаду, Францию и Германию, выступили против принятия ISO 17799. По их мнению, этот документ хорош как набор рекомендаций, но не как стандарт. В США и европейских странах до 2000 г. уже была проделана огромная работа по стандартизации информационной безопасности. «Существует несколько различных подходов к ИТ безопасности. Мы считали, чтобы получить действительно приемлемый международный стандарт, все они должны быть приняты к рассмотрению, вместо того чтобы взять один из документов и ускоренно его согласовать. — говорит Жене Трой, — Главный стандарт безопасности был представлен как свершившийся факт, и просто не было возможности использовать результаты другой работы, проделанной в этой области».
Представители BSI возражали, что работы, о которых идет речь, касаются в основном технических аспектов, а BS 7799 никогда не рассматривался как технический стандарт. В отличие от других стандартов безопасности, таких как Commonly Accepted Security Practices and Regulations (CASPR) или ISO 15408/Common Criteria, он определяет основные не технические аспекты защиты информации, представленной в любой форме. «Он должен быть таким, так как предназначается для любых видов организаций и внешних окружений,- говорит представитель BSI Стив Тайлер (Steve Tyler), — Это документ по управлению информационной безопасностью, а не каталог ИТ продуктов».
Несмотря на все возражения, авторитет BSI (являющегося основателем ISO, основным разработчиком международных стандартов и главным органом по сертификации в мире) перевесил. Была запущена процедура ускоренного согласования, и стандарт вскоре был принят.
Основным достоинством ISO 17799 является его гибкость и универсальность. Описанный в нем набор лучших практик применим практически к любой организации, независимо от формы собственности, вида деятельности, размера и внешних условий. Он нейтрален в технологическом плане и всегда оставляет возможность выбора технологий.
Когда возникают вопросы: «С чего начать?», «Как управлять ИБ?», «На соответствие каким критериям следует проводить аудит?» — этот стандарт поможет определить верное направление и не упустить из виду существенные моменты. Его также можно использовать как авторитетный источник и один из инструментов для «продажи» безопасности руководству организации, определения критериев и обоснования затрат на ИБ.
Однако гибкость и универсальность одновременно являются и «ахиллесовой пятой» этого стандарта. Критики говорят, что ISO 17799 является слишком абстрактным и нечетко структурированным, чтобы представлять реальную ценность. Недостаточно основательное его применение может давать ложное чувство защищенности.
ISO 17799 описывает меры по обеспечению безопасности в общем виде, но ничего не говорит о технических аспектах их реализации. Например, стандарт рекомендует использовать механизмы контроля доступа и определяет конкретные технологии, такие как USB-ключи, смарт-карты, сертификаты и т.п. Однако он не рассматривает достоинства и недостатки этих технологий, особенности и способы их применения.
1.3.3 Германский стандарт BSI
В отличие от ISO 17799, германское «Руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасности компании.
В германском стандарте BSI представлены:
· общая методика управления информационной безопасностью (организация менеджмента в области ИБ, методология использования руководства);
· описания компонентов современных информационных технологий;
· описания основных компонентов организации режима информационной безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях, поддержка непрерывности бизнеса);
· характеристики объектов информатизации (здания, помещения, кабельные сети, контролируемые зоны);
· характеристики основных информационных активов компании (в том числе аппаратного и программного обеспечения, например рабочих станций и серверов под управлением операционных систем семейства DOS, Windows и UNIX);
· характеристики компьютерных сетей на основе различных сетевых технологий, например сетей Novell NetWare, UNIX и Windows;
· характеристики активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;
· подробные каталоги угроз безопасности и мер контроля (более 600 наименований в каждом каталоге).
Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание информационного актива компании - возможные угрозы и уязвимости безопасности - возможные меры и средства контроля и защиты.
1.3.4 Международный стандарт ISO/IEC 15408 «Общие критерии оценки безопасности информационных технологий»
Один из главных результатов стандартизации в сфере систематизации требований и характеристик защищенный информационных комплексов стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. Важное место в этой системе стандартов занимает стандарт ISO/IEC 15408 («Общие критерии»).
В 1990 году Международная организация по стандартизации (ISO) приступила к разработке международного стандарта по критериям оценки безопасности информационных технологий для общего использования под названием «Общие критерии оценки безопасности информационных технологий».
В разработке «Общих критериев» (ОК) участвовали Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации ИТ (Англия), Центр обеспечения безопасности систем (Франция), которые опирались на свой солидный опыт.
«Общие критерии» обобщили содержание и опыт использования Оранжевой книги, развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США.
За десятилетие разработки «Общие критерии» неоднократно редактировались лучшими специалистами мира. В результате был подготовлен международный стандарт ISO/IEC 15408.
Первые две версии «Общих критериев» были опубликованы соответственно в январе и мае 1998 года. Версия 2.1 этого стандарта утверждена 8 июня 1999 года Международной организацией по стандартизации в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий».
В ОК проведена классификация широкого набора требований безопасности ИТ, определены структуры их группирования и принципы использования. Главные достоинства ОК - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.
«Общие критерии» адаптированы к потребностям взаимного признания результатов оценки безопасности ИТ в мировом масштабе и предназначены для использования в качестве основы для такой оценки. Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования.
Основываясь на общем перечне (наборе) требований, в процессе выработки оценки уровня защиты устанавливается уровень доверия.
Результаты оценок защиты позволяют определить для компании достаточность защиты корпоративной информационной системы.
Ведущие мировые производители оборудования ИТ основательно подготовились к этому моменту и сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.
Принятый базовый стандарт информационной безопасности ISO 15408, безусловно, очень важен для российских разработчиков.
«Общие критерии» разрабатывались в расчете на то, чтобы удовлетворить запросы трех групп специалистов, в равной степени являющихся пользователями этого документа: производителей и потребите, icii продуктов информационных технологий, а также экспертов по оценке уровня их безопасности. «Общие критерии» обеспечивают нормативную поддержку процесса выбора ИТ-продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.
«Общие критерии», во-первых, рассматривают информационную безопасность как совокупность конфиденциальности и целостности информации, обрабатываемой ИТ-продуктом, а также доступности ресурсов ВС и, во-вторых, ставят перед средствами защиты задачу противодействия угрозам, актуальным для среды эксплуатации этого продукта и реализации политики безопасности, принятой в этой среде эксплуатации. Поэтому в концепцию «Общих критериев» входят все аспекты процесса проектирования, производства и эксплуатации ИТ-продуктов, предназначенных для работы в условиях действия определенных угроз безопасности.
Потребители ИТ-продуктов озабочены наличием угроз безопасности, приводящих к определенным рискам для обрабатываемой информации. Для противодействия этим угрозам ИТ-продукты должны включать в свой состав средства защиты, противодействующие этим угрозам и направленные на устранение уязвимостей, однако ошибки в средствах защиты, в свою очередь, могут приводить к появлению новых уязвимостей. Сертификация средств защиты позволяет подтвердить их адекватность угрозам и рискам.
«Общие критерии» регламентируют все стадии разработки, квалификационного анализа и эксплуатации ИТ-продуктов. «Общие критерии» предлагают концепцию процесса разработки и квалификационного анализа ИТ-продуктов, требующую от потребителей и производителей большой работы по составлению и оформлению довольно объемных и подробных нормативных документов.
Требования «Общих критериев» являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника по безопасности информационных технологий.
Стандарт ISO 15408 поднял стандартизацию информационных технологий на межгосударственный уровень. Возникла реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных информационных систем, а это, в свою очередь, откроет новые сферы применения информационных технологий.
Некоторые особенности стандарта ISO 15408 приводятся в разделе 3.3, где рассматривается стандарт ГОСТ Р ИСО/МЭК 15408, являющийся аналогом стандарта ISO 15408.
1.3.5 Стандарты 270хх
|
|
|
