Розробка системи захисту. Вибір кваліфікації потенційного порушника. Можливі канали НСД і засоби захисту, що рекомендуються для їхнього перекриття

4 РОЗРОБКА СИСТЕМИ ЗАХИСТУ

4.1 Аналіз інформаційних потоків, із погляду безпеки

Цінність інформації є критерієм при прийнятті будь-якого рішення про її захист. Для оцінки потрібне розподіл інформації на категорії не тільки відповідно до її цінності, але і важливістю. Відомо [4] наступний поділ інформації з рівня важливості:

1) життєво важлива незамінна інформація, наявність якої необхідно для функціонування організації;

2) важлива інформація – інформація, що може бути замінена або відновлена, але процес відновлення дуже важкий і зв'язаний з великими витратами;

3) корисна інформація – інформація, що важко відновити, однак організація може ефективно функціонувати і без неї;

4) несуттєва інформація – інформація, що більше не потрібна організації.

На практиці віднесення інформації до однієї з цих категорій може являти собою дуже важку задачу, тому що та сама інформація може бути використана багатьма підрозділами організації, кожне з яких може віднести цю інформацію до різних категорій важливості. Категорія важливості, як і цінність інформації, звичайно, змінюється згодом і залежить від ступеня відносини до неї різних груп споживачів і потенційних порушників.

При аналізі інформаційних потоків з погляду безпеки слід виділити кілька їх напрямків:

Захист мережних процесів обміну даними. В основному ці процеси забезпечуються роботою криптографічних засобів. При цьому захист інформації відбувається на канальному та більш високих рівнях моделі ISO/OSI. Фізичний рівень зазвичай розглядається, тоді коли йде мова про захист від побічних електромагнітних випромінювань або якщо існує можливість фізичного доступу зловмисника до каналу зв'язку;

Захист експорту файлів. Може відбуватися як засобами операційної системи так і організаційними заходами (примусове відключення користувачів від мережі під час імпорту/експорту, заборона використання аналізаторів мереженого трафіка та ін.).

4.2 Вибір кваліфікації потенційного порушника

Для постановки задачі розглянемо деякі первісні умови. Такі умови для нас буде створювати модель очікуваного поводження потенційного порушника.

Порушенням вважається спроба несанкціонованого доступу (НСД) до будь-якої частини підлягаючому захистові інформації, збереженої, оброблюваної і переданої у ЛОМ.

Оскільки час і місце прояву навмисного НСД пророчити неможливо, доцільно відтворити деяку модель поводження потенційного порушника, припускаючи найбільш небезпечну ситуацію:

а) порушник може з'явитися в будь-який час і в будь-якому місці периметра системи обробки даних;

б) кваліфікація та поінформованість порушника може бути на рівні розроблювача даної системи;

в) постійно збережена інформація про принципи роботи системи, порушникові відома;

г) для досягнення своєї мети порушник вибере найбільш слабку ланку в захисті;

д) порушником може бути не тільки стороння особа, але і законний користувач системи;

е) порушник діє один.

Дана модель дозволяє визначитися з вихідними даними для побудови захисту і намітити основні принципи її побудови.

Згідно п. "а" необхідно будувати навколо предмета захисту постійно діючий замкнутий контур (або оболонку) захисту.

Згідно п. "б" властивості перешкоди, що складають захист, повинні по можливості відповідати очікуваній кваліфікації і поінформованості порушника.

Згідно п. "в" для входу в систему законного користувача необхідна перемінна секретна інформація, відома тільки йому.

Згідно п. "г" підсумкова міцність захисного контуру визначається його найслабшою ланкою.

Згідно п. "д" при наявності декількох законних користувачів корисно забезпечити розмежування їхнього доступу до інформації відповідно до повноважень і виконуваних функцій, реалізуючий у такий спосіб принцип найменшої поінформованості кожного користувача з метою скорочення збитку у випадку, якщо має місце безвідповідальність одного з них. Звідси також випливає, що розрахунок міцності захисту повинний вироблятися для двох можливих вихідних позицій порушника: за межами контрольованої території й усередині неї.

Згідно п. "е" як вихідну передумову також вважаємо, що порушник один, тому що захист від групи порушників – задача наступного етапу досліджень. Однак це не виключає можливості захисту пропонованими методами й засобами і від такого роду ситуацій, хоча подібна задача значно складніше. При цьому під групою порушників розуміється група людей, що виконують одну задачу під загальним керівництвом.

На підставі викладеного для вибору вихідної моделі поводження потенційного порушника доцільний диференційований підхід. Оскільки кваліфікація порушника – поняття досить відносні й наближене, можливо взяти за основу чотири класи безпеки:

1-й клас рекомендується для захисту життєво важливої інформації, витік, руйнування або модифікація якої можуть привести до великих утрат для користувача. Міцність захисту повинна бути розрахована на порушника-професіонала;

2-й клас рекомендується використовувати для захист важливої інформації при роботі декількох користувачів, що мають доступ до різних масивів даних або формуючі свої файли, недоступні іншим користувачам. Міцність захисту повинна бути розрахована на порушника високої кваліфікації, але не на зломщика-професіонала;