Информационная безопасность » Введение в классификацию ИС

Основные регламенты классификации

admin — Thu, 28 Aug 2008 13:26:19 +0000

Тем, кто начинает свое знакомство с информационной безопасностью, уже на первых стадиях ее изучения попадутся названия “Оранжевая книга”, “Красная книга”, Общие критерии (Common Criteria), ТСРЕС, ITSEC и др.
Все это критерии определения уровня безопасности систем. Наиболее известные из них следующие:
□ Оранжевая книга (DoD 5200.28-STD — Trusted Computer Systems Evaluation Criteria) — выпущенные Министерством обороны США критерии оценки уровня безопасности компьютерных систем как таковых.
□ Красная книга (NCSC-TG-005 — Trusted Network Interpretation of the Trusted Computer System Evaluation Criteria) — расширение этих критериев для случаев использования компьютерных систем в информационной сети.
Если читателю доводилось слышать термин “система сертифицирована по классу С2″, то это как раз термин, обозначающий уровень информационной безопасности по данным критериям.
При этом необходимо отметить, что в России существуют свои нормативные документы по данному вопросу. Это документы, выпущенные Государственной технической комиссией при Президенте Российской Федерации: Классификация автоматизированных систем и требования по защите информации, Показатели защищенности от несанкционированного доступа к информации, Положение по аттестации объектов информатизации по требованиям безопасности информации и др., о которых будет рассказано в главе 29.
Если отсутствуют соответствующие регламенты на использование того или иного подхода к оценке конкретной информационной системы, то можно выбрать наиболее понравившийся — практически все указанные документы доступны в Интернете. Хотелось бы только предостеречь от поверхностного подхода к таким оценкам.
Например, ряд руководителей, услышав, что С2 — это уровень, рекомендованный для использования в коммерческих учреждениях, начинают в качестве требований к поставщикам указывать необходимость соответствия данному уровню, до конца не понимая из чего он складывается. В таких случаях мы бы рекомендовали пройтись хотя бы по названиям подпунктов раздела С2 “Красной книги”, чтобы иметь общее представление о данном стандарте. В этой главе в разделе “Классификация информационных объектов” будут немного подробнее затронуты вопросы критериев оценки систем.
Теперь рассмотрим классификацию объектов, в данном случае информации. Широко используемая во времена бумажных документов классификация — секретная, для служебного пользования (ДСП) и открытая — перекочевала и в век электронной информации. Однако, на наш взгляд, данная классификация не является исчерпывающей и может с натяжкой охватывать в разрезе информационной безопасности только аспект конфиденциальности. А для успешной работы необходимо как минимум охватить также понятия целостности и доступности информации. На классификацию информации не существует известных (во всяком случае, нам) устоявшихся моделей. Причина этого может скрываться в том, что процесс такой классификации довольно специфичен для каждого предприятия. Тем не менее мы попытаемся привести одну модель, которая может служить наиболее обшей основой для построения собственной схемы. Она будет рассмотрена в разделе для специалистов.

Терминология и постановка задачи

admin — Thu, 28 Aug 2008 13:25:53 +0000

Для понимания материала, изложенного в данной главе, необходимо разделить понятие информационной системы на объекты, субъекты и средства работы с информацией. В главе 2 эти термины были уже определены, но для избежания путаницы повторим и уточним определения.
Объектом будем называть информацию создаваемую, хранимую, обрабатываемую, отправляемую или принимаемую.
Субъектом будет выступать любой пользователь системы, ориентированный как на производственные или иные задачи, так и на поддержку самой системы (администратор).
Средство работы с информацией — это набор аппаратного и программного обеспечения, с помощью которого производится работа в системе, т. е. субъекты воздействуют на объекты.
Таким образом задача сводится к классификации:
□ объектов — по степени их важности для предприятия; □ средств работы с информацией — их способности поддерживать предопределенный уровень информационной безопасности;
□ субъектов — по степени их допуска к работе с тем или иным объектом (или на том или ином средстве работы с информацией).
В идеальном варианте, когда классификация полностью проведена, остается только привести в соответствие три составляющих — объект данной категории чувствительности обрабатывается только средством соответствующей категории надежности субъектом соответствующей категории доступа. Если не найдено средство или субъект соответствующего уровня — нужно сделать обновление или докупить средства и произвести обучение или прием на работу новых пользователей.
Правда, реальность в данном вопросе более сложная. Проще всего на первый взгляд классифицировать субъектов, учитывая опыт, накопленный отделами по режиму (так называемыми “первыми отделами”) советских предприятий. Однако в современном информационном пространстве необходимо учитывать не только общий уровень благонадежности пользователя, но и такие факторы как:
□ общая квалификация или способность работать в информационной системе, не внося в нее сбоев из-за человеческого фактора. Известна статистика нарушений информационной безопасности. Мы не будем приводить конкретных цифр — они меняются в зависимости от времени и агентства, производившего опрос. В любом случае, например, цифра, равная 1% нарушений, приемлемая для одной организации, может оказаться катастрофичной для другой;
□ подготовка пользователя в сфере информационной безопасности или осведомленность его в вопросах установленных процедур безопасности. Любой доверенный и квалифицированный пользователь, не знакомый с
. возможностью и принципами социальной инженерии (см. разд. “Социальная инженерия ” главы 10), представляет собой угрозу.
Классификация субъектов будет подробно освещена в главе 7, а в данной коснемся вопроса классификации объектов и средств работы с ними. Кроме того следует учесть, что хотя в качестве объекта классификации и выделена информация как таковая, иногда бывает необходимо классифицировать и иные ресурсы, которые могут рассматриваться как объект защиты, например, место, выделенное для хранения на жестком диске, или процессорное время. Однако, на наш взгляд, разобравшись в принципах классификации информации, можно при необходимости произвести аналогичную классификацию любых других ресурсов.