Нормативний документ




Скачати 461.5 Kb.

Сторінка1/2
Дата конвертації15.01.2017
Розмір461.5 Kb.
  1   2

НОРМАТИВНИЙ ДОКУМЕНТ
СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
Технічний захист інформації
на програмно-керованих АТС загального користування Методика оцінки захищеності інформації
(базова)

Департамент спеціальних телекомунікаційних систем та захисту
інформації Служби безпеки України
Київ 1999

НОРМАТИВНИЙ ДОКУМЕНТ
СИСТЕМИ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ
Затверджено наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України від “ 28 ” травня 1999 року №26
Технічний захист інформації
на програмно-керованих АТС загального користування Методика оцінки захищеності інформації
(базова)
НД ТЗІ 3.7-002-99
ДСТСЗІ СБ України
Київ

Передмова
1 РОЗРОБЛЕНО Науково-дослідним інститутом автоматизованих систем в будівництві
Державного комітету України у справах містобудування і архитектури
2 ВНЕСЕНО Головним управлінням технічного захисту інформації Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України
3 ВВЕДЕНО ВПЕРШЕ
Цей нормативний документ не може бути повністю чи частково відтворений,
тиражований та розповсюджений без дозволу Департаменту спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України
3

Зміст
5

НД ТЗІ 3.7-002-99
ТЕХНІЧНИЙ ЗАХИСТ ІНФОРМАЦІЇ
НА ПРОГРАМНО-КЕРОВАНИХ АТС ЗАГАЛЬНОГО КОРИСТУВАННЯ
МЕТОДИКА ОЦІНКИ ЗАХИЩЕНОСТІ ІНФОРМАЦІЇ
(БАЗОВА)
Чинний від 1999-07-01
1 Галузь використання
Цей нормативний документ (НД) містить основну (базову) методику оцінки захищеності інформації, що циркулює на програмно-керованих АТС загального користування, а також на установських (відомчих, корпоративних) АТС.
Положення НД поширюються на програмно-керовані АТС (далі - АТС), у яких зберігається та циркулює інформація, що підлягає технічному захисту ( див. ДСТУ 3396.0 і
НД ТЗІ Методика, яка викладена у НД, може бути реалізована, якщо відома модель загроз
інформаційним ресурсам оцінюваної АТС. Вимоги НД не поширюються на захист- міжстанційних каналів синхронізації, сигналізації та передачі абонентської
інформації;
- від зловмисних дій авторизованих користувачів у межах наданих їм повноважень, що наносять збиток власникам інформаційних ресурсів- елементів АТС від екстремізму і вандалізму авторизованих користувачів- телефонної мережі від некоректного вмикання в її структуру вперше запроваджуваних АТС або АТС, що модернізуються.
Захист елементів АТС від фізичного доступу, ушкоджень, розкрадань і підміну цьому
НД розглядається в загальному вигляді і лише як необхідна обмежувальна міра в процесі
здійснення заходів щодо ТЗІ. Передбачається, що вжиті заходи щодо обмеження фізичного доступу до зони станційного устаткування достатні, щоб виключити можливість несанкціонованого доступу (НСД) в цю зону неуповноважених осіб.
Документ призначений для замовників, розроблювачів, виготовлювачів і
постачальників АТС, операторів зв'язку національного, реґіонального і місцевого рівнів,
юридичних осіб - власників і користувачів АТС, а також для організацій і підприємств, що здійснюють оцінку захищеності інформації на АТС від НСД, витоків і спеціальних впливів
через технічні канали.
Вимоги цього НД є обовязковими для підприємств, організацій, юридичних осіб,
діючих на терені України незалежно від їх форм власності та відомчої підпорядкованості, які
здійснюють діяльність, повязану з розробкою, виготовленням, експлуатацією АТС, а також проводять оцінку захищеності інформації на АТС від НСД, витоків та спеціальних впливів через технічні канали.
2 Нормативні посилання
У цьому нормативному документі ТЗІ використані посилання на такі нормативні
документи ДСТУ 2615-94 - Електрозв'язок. Зв'язок цифровий та системи передачі цифрові.
Терміни та визначення;

ДСТУ 2621-94 - Зв'язок телефонний. Загальні поняття. Телефонні мережі. Терміни та визначення.

ДСТУ 3396.0-96 - Захист інформації. Технічний захист інформації. Основні
положення;

ДСТУ 3396.1-96 - Захист інформації. Технічний захист інформації. Порядок виконання робіт;

ДСТУ 3396.2-97 - Захист інформації. Технічний захист інформації. Терміни і
визначення;

ДСТУ 3413-96 - Захист інформації. Технічний захист інформації. Система сертифікації УкрСЕПРО. Порядок проведення сертифікації продукції;

ГОСТ 2.106-96 - ЕСКД. Текстовые документы;

НД ТЗІ 1.1-001-99 - Технічний захист інформації на програмно-керованих АТС
загального користування. Основні положення;

НД ТЗІ 2.7-001-99 - Технічний захист інформації на програмно-керованих АТС
загального користування. Порядок виконання робіт;

НД ТЗІ 2.5-001-99 - Технічний захист інформації на програмно-керованих АТС
загального користування. Специфікації функціональних послуг захисту;

НД ТЗІ 2.5-002-99 - Технічний захист інформації на програмно-керованих АТС
загального користування. Специфікації гарантій захисту;

НД ТЗІ 2.5-003-99 - Технічний захист інформації на програмно-керованих АТС
загального користування. Специфікації довірчих оцінок коректності реалізації
захисту.
3 Визначення, позначення і скорочення
У цьому документі використані терміни і визначення, що відповідають наведеним у
ДСТУ 2615-94, ДСТУ 2621-94 і ДСТУ Крім того, вводяться або уточнюються стосовно до АТС згідно з НД ТЗІ нижченаведені терміни і визначення.
Інформаційний ресурс - це власне інформація або будь-який об'єкт, що є елементом певної інформаційної технології (технічні засоби обчислювальної або телекомунікаційної
техніки, програми, дані і т. ін.).
Уразливість інформації - фундаментальна властивість інформації наражатися на небажані з точки зору її власників впливи збоку різного роду несприятливих чинників
середовища існування інформаційних ресурсів;
ТЗІ на АТС - запобігання за допомогою інженерно-технічних заходів реалізаціям загроз для інформаційних ресурсів АТС, що створюються через технічні канали , через канали спеціальних впливів та шляхом несанкціонованого доступу.
Канали спеціальних впливів на елементи АТС - канали, через які впливи на технічні
(апаратні) засоби АТС приводять до створення загроз для інформації.
Реалізація загроз для інформації на АТС через канали спеціальних впливів можлива з-за
:
- кількісної недостатності компонентів АТС;
- якісної недостатності компонентів і (або) всієї АТС у цілому
- навмисної або ненавмисної діяльності осіб, які, в свою чергу, впливають на елементи
АТС з використанням програмних і (або) технічних засобів
- несправностей апаратних елементів АТС;
- виходів за межі припустимих значень параметрів зовнішнього середовища функціонування АТС (утому числі, пов'язаними зі стихійними лихами, катастрофами й
іншими надзвичайними подіями
- помилок і некоректних дій суб'єктів доступу до ресурсів АТС на стадії її промислової
експлуатації.
Кількісна недостатність компонентів - фізична недостатність компонентів АТС, що не дозволяє забезпечити потрібну захищеність інформаційних ресурсів в розрізі розглянутих показників ефективності захисту.
Якісна недостатність - недосконалість архітектури чи структури АТС, організації
технологічних процесів на АТС, проектних рішень на будь-якому з видів забезпечення АТС
(програмного, апаратного, інформаційного і т.ін.), недоробки функціональних та принципових схем, конструкції компонентів і (або) всієї АТС у цілому, внаслідок чого не забезпечується потрібна захищеність інформаційних ресурсів у розрізі розглянутих показників ефективності захисту.
Відмова - порушення працездатності певного елемента АТС, що унеможвлює
виконання ним своїх функцій.
Збій - тимчасове порушення працездатності певного елемента АТС, внаслідок чого з'являється можливість хибного виконання ним у цей момент своїх функцій.
Помилка - хибне (одноразове або систематичне) виконання елементом АТС однієї або кількох функцій, що відбувається внаслідок специфічного (постійного або тимчасового) його стану.
Стихійне лихо - спонтанно виникаюче природне явище, що виявляється як могутня руйнівна сила.
Зловмисні дії - дії людей, що спеціально спрямовані на порушення захищеності
інформаційних ресурсів.
Побічне явище - явище, що супроводжує виконання елементом АТС своїх основних функцій, внаслідок якого можливе порушення захищеності інформаційних ресурсів АТС.
Штатні засоби доступу (до інформаційних ресурсів АТС) - системні термінали,
термінали обслуговування (утому числі, віддалені, телефонні комутатори та абонентські
прикінцеві пристрої.
Закладний пристрій - позаштатний технічний пристрій, встановлений і замаскований
у апаратному середовищі АТС з метою реалізації загроз для інформації.
Програмна закладка - позаштатна комп'ютерна програма, встановлена і замаскована у програмному середовищі АТС з метою реалізації загроз для інформації.
Програмно-апаратні закладні пристрої (закладки) - закладні пристрої та (або)
програмні закладки.
Модель порушника - опис ймовірних дій порушника, рівня його повноважень,
ресурсних можливостей, використовуваних ним програмних і (або) апаратних засобів з метою реалізації загроз для інформації на АТС.
Модель загроз для інформації на АТС - опис способів і засобів здійснення суттєвих загроз для інформаційних ресурсів із зазначенням рівнів гранично припустимих втрат, що пов'язані з їхніми можливими проявами в конкретних або передбачуваних умовах застосування АТС.
Функціональна послуга захисту (ФПЗ) - взаємопов'язана множина виконуваних АТС
елементарних функцій, яка дозволяє протистояти певним загрозам для інформації.
Засіб захисту - програмний і (або) технічний засіб, який безпосередньо реалізує певну
ФПЗ.
Механізм захисту - процедура або частина процедури реалізації певної ФПЗ.
Стійкість (потужність) механізму захисту - його здатність протистояти прямим атакам, тобто спробам його безпосереднього злому.
Модель захисту - опис взаємопов'язаної множини ФПЗ із зазначенням необхідних рівнів стійкості реалізованих механізмів захисту, у випадку реалізації якої забезпечується потрібний рівень захисту інформації на АТС.
База захисту АТС - сукупність всіх елементів системи ТЗІ (методологічних,
методичних, проектних, програмних, апаратних, організаційних і т.ін.), що мають відношення до організації протидії загрозам для інформаційних ресурсів на АТС.
Комплекс засобів і механізмів захисту (КЗМЗ) - взаємопов'язаний набір засобів і
механізмів ТЗІ, що реалізують обрану модель захисту інформаційних ресурсів на АТС.
Сертифікований канал можливої реалізації загроз для інформаційних ресурсів стандартизований потенційно можливий документально зафіксований у моделях порушників спосіб (методі (або) механізм) реалізації загроз для інформаційних ресурсів.
Слабке місце у захисті - сертифікований канал можливої реалізації загроз для
інформаційних ресурсів, механізми захисту для протидії котрим у системі ТЗІ відсутні.
Вилом у захисті – сертифікований канал можливої реалізації загроз для
інформаційних ресурсів, механізми захисту для протидії котрим у системі захисту ТЗІ
присутні, але перебувають у непрацюючому стані.
Неформальний опис – опис на звичайній мові, що не підлягає будь-яким обмеженням,
за винятком необхідності використання звичайних умовностей граматики та синтаксису мови, яка використовується (при цьому багатозначність щодо трактування опису не виключається).
Напівформальна специфікація – специфікація, яка потребує використання обмежувальних позначень (наприклад, діаграм структур даних або процесів, мови специфікацій SDL і т. ін.) при додержанні певних умовностей, котрі мають неформальний опис ( при цьому багатозначність щодо трактування опису повністю не виключається.
Формальна специфікація - специфікація, яка потребує використання лише формальної системи правил та позначень, побудованої на обгрунтованій математичній
концепції ( при цьому ймовірність багатозначності щодо трактування специфікації
визначається ступенем обгрунтованості математичної концепції, що використовується).
Тест на проникнення - опис ( специфікація) процедури штатних дій санкціонованого користувача або експерта, що імітує дії потенційного порушника з метою перевірки ефективності системи захисту (глибина" тесту на проникнення визначається ступенем наближення дій, що імітуються, до реально можливих дій порушника та ресурсними можливостями порушника.
Гарантії захисту на певній стадії життєвого циклу АТС - сукупність вимог до реалізації організаційно-технічних заходів націй стадії життєвого циклу АТС, що спрямовані
на підвищення захищеності інформації на АТС.
Заявник - юридична або фізична особа, що є ініціатором проведення оцінювальних робіт;
Експерт - фізична особа, яка має високу кваліфікацію, спеціальні знання,
безпосередньо здійснює експертизу і несе персональну відповідальність за достовірність та повноту аналізу, обгрунтованість рекомендацій відповідно до вимог завдання на проведення експертизи.
Оцінка АТС за критеріями ТЗІ - комплекс спеціалізованих дослідницько- аналітичних та експериментальних робіт, що виконуються з метою визначення відповідності
системи захисту інформації на АТС до вимог (специфікацій) нормативних документів з ТЗІ.
Експертиза АТС за критеріями ТЗІ - діяльність, метою якої є дослідження,
перевірка, аналіз та оцінка науково-технічного рівня системи захисту інформації на АТС, а також підготовка обгрунтованих висновків для прийняття рішення щодо рівня захищеності
інформаційних ресурсів АТС в описаних Заявником умовах експлуатації АТС та рівня довіри до результатів оцінки.
Критерії дієвості - нормуючі умови, вимоги і показники, згідно з якими оцінюється коректність системи ТЗІ на АТС.
Довірчі критерії - нормуючі умови, вимоги і показники, згідно з якими оцінюється рівень довіри до коректності реалізації системи ТЗІ на АТС.
Оцінка ефективності системи ТЗІ на АТС - оцінка ступеня досконалості
системи ТЗІ, що створена на АТС, стосовно "слабких місць" та "виломів" у захисті.
4 Загальні положення
4.1 Для одержання впевненості втому, що АТС забезпечує очікувану якість захисту
інформаційних ресурсів, необхідне підтвердження досягнутого рівня якості такого захисту збоку незалежного експерта Якщо метою оцінки є одержання формального юридично дієвого документа, що підтверджує досягнутий рівень захищеності АТС за ТЗІ, то за експерта повинна виступати незалежна від усіх зацікавлених у результатах оцінки сторін спеціалізована організація, що має відповідні повноваження (ліцензію) від державного органу, який регламентує діяльність в галузі ТЗІ.
4.3 Ініціатором проведення оціночних робіт, тобто Заявником, може бути будь-яка юридична або фізична особа незалежно від громадянства або місця реєстрації підприємства.
Як правило, в одержанні сертифіката з оцінкою якості ТЗІ на АТС зацікавлені
Виробник і (або) Постачальник АТС, а в одержанні атестата - Споживач (Покупець,
Одержувач, Власник, Оператор зв'язку і т.ін.) виробу, який планує розгорнути АТС на своїх площах і тому зацікавлений у безпечній її експлуатації.
У окремих випадках ініціатором проведення оціночних робіт може бути організація
наприклад, комерційна, науково-дослідна, конструкторська, експертно-аналітична,
державного керування і т.ін.), що зацікавлена в об'єктивних оцінках рівня захищеності
інформаційних ресурсів на досліджуваній АТС.
4.4 Нормативна база України в галузі ТЗІ гармонізована (погоджена у методологічному плані) із Єдиними (уніфікованими) для Європейського Союзу критеріями оцінки безпеки систем інформаційної техніки (ITSEC). Оскільки програмно-керовані АТС
належать до класу систем інформаційної техніки, то методика оцінки захищеності інформації
на них повною мірою визначається вищезгаданими критеріями ITSEC із врахуванням специфічних особливостей АТС як інформаційно уразливого об'єкта.
4.5 Згідно цій методиці оцінка захищеності інформації на АТС проводиться вдвох напрямках.
Перший напрямок містить у собі оцінку коректності (тобто, слушності) створеної на
АТС системи ТЗІ, як-от:
- оцінюється коректність результатів проектування моделі захисту АТС, тобто визначається, чи дійсно запроектована множина ФПЗ з обраними в процесі проектування рівнями стійкості механізмів реалізації цих послуг може забезпечити необхідний рівень захисту інформаційних ресурсів від суттєвих для Заявника загроз- оцінюється коректність результатів проектування і реалізації КЗМЗ, тобто визначається, чи дійсно створений КЗМЗ безпомилково і повною мірою реалізує відображену у проекті множину ФПЗ;
- оцінюється ефективність системи ТЗІ на АТС , тобто визначається коректність результатів аналізу "слабких місць" у захисті інформаційних ресурсів з урахуванням особливостей конструкції АТС і умов її експлуатації.
Другий напрямок містить у собі оцінку рівня довіри до результатів, що отримані в процесі оціночних робіт у рамках першого напрямку, тобто оцінку рівня довіри до коректності реалізованої на АТС системи ТЗІ.
Тут мається на увазі, що висновок про коректність оцінюваної системи ТЗІ може бути зроблений на базі різної повноти і глибини знань про неї. Тому і рівень довіри до результатів оцінки коректності може бути різний.
Процес одержання довірчої оцінки полягає, в основному, у послідовному перегляді та перепровірці результатів і умов розробки, виготовлення, випробувань, поставки, введення вдію і експлуатації оцінюваної АТС на відповідність наданим у НД ТЗІ 2.5-003-99 довірчим критеріям Метою оцінки в рамках першого напрямку робіт є підтвердження слушності
(безпомилковості, коректності) системи ТЗІ, що використовується на оцінюваній АТС.
Метою робіт, здійснюваних у рамках другого напрямку, є визначення ступеня впевненості (рівня довіри) утому, що висновок про коректність реалізованої системи ТЗІ на
АТС (отриманий, зокрема, як результат оціночних робіт за першим напрямком) є
справедливим.
4.7 У випадку виявлення будь-яких некоректностей в оцінюваній системі ТЗІ набудь- якому із етапів її створення відпадає необхідність в оцінці рівня довіри до коректності,
оскільки така коректність, відповідно до результатів оцінки, первісно відсутня Для оцінки коректності (слушності) моделі захисту така модель представляється
Заявником у вигляді набору ФПЗ і відповідної множини реалізуючих ці ФПЗ механізмів захисту. Вказуються також мінімально припустимі рівні стійкості механізмів захисту.
У процесі оцінювання необхідно одержати підтвердження, що заявлена модель
захисту належним чином протидіє саме тим загрозам, що є суттєвими для Заявника.
Не усі потенційно реалізовані на АТС загрози є суттєвими для її власників і
користувачів, і не усякий ступінь протидії суттєвим загрозам із боку засобів і механізмів захисту їх може задовольнити. Можливі, наприклад, випадки, коли порушення конфіденційності інформації не спричиняють відчутних втрат для її власників. У цих випадках недоцільно витрачати ресурси на організацію захисту від такого виду загроз.
Надмірний захист від суттєвих загроз може обумовити невиправдані витрати. Тому в процесі
визначення необхідного рівня захищеності інформаційних ресурсів на АТС (див. НД ТЗІ 2.7 -
001 - 99 ) для кожної загрози, що віднесена до множини суттєвих загроз, указується гранично припустимий рівень втрат, які готовий понести Заявнику разі реалізації такої загрози. А
стійкість механізмів захисту, що протидіють цій загрозі, і ефективність системи захисту в цілому вибираються таким чином, щоб рівень витратна створення захисних механізмів був менше або, у крайньому випадку, приблизно однаковим із гранично припустимим рівнем втрат, що пов'язані із можливою реалізацією такої загрози.
Аналіз домірності гранично припустимих втрат від можливих проявів загрозі запропонованих до реалізації рівнів стійкості механізмів захисту, що протидіють цим загрозам, і є предметом діяльності Експерта в процесі оцінки коректності моделі захисту. Щодо цього проводиться перевірка функціональної повноти моделі (тобто, чи проти всіх суттєвих загроз організується захист, раціональності взаємозв'язків між ФПЗ і
механізмами захисту в моделі (як-от, відсутність дублювання і надлишкового використання ресурсів, мінімізація витратна захисті т.ін.). Перевіряється також спроможність функцій і
механізмів захисту взаємодіяти таким чином, щоб взаємно підтримувати один одного і
утворювати єдине діюче ціле Згідно з прийнятим у цьому документі підходом до оцінки захищеності АТС межа відповідальності Експерта починається з оцінки коректності моделі захисту. Отже, результати таких важливих етапів створення системи ТЗІ як аналіз середовища функціонування АТС з позицій ТЗІ (так званий аналіз чотирьох середовищ - інформаційного, користувачів,
технологічного і середовища порушників, створення моделей порушників, побудова моделі
загроз , аналіз ризиків і визначення необхідного рівня захищеності інформресурсів на АТС у процесі оціночних робітна коректність не досліджуються.
Якщо Заявник не претендує на високі рівні довіри до коректності створеної системи
ТЗІ, то для оцінки моделі захисту непотрібно надання результатів аналізу щодо середовищ функціонування АТС, моделей порушників та моделі загроз. Проте у міру підвищення претензій Заявника до рівня довірчих оцінок виникає необхідність у вивченні Експертом усе більш широкої номенклатури технічних документів, що відбивають усе більш глибоку й об'ємну роботу Заявника щодо рішення задач аналіза середовищ функціонування АТС,
вибору моделі загроз, аналіза ризиків і визначення необхідного рівня захищеності АТС.
Щоб одержати високий рівень довіри до коректності моделі захисту, перераховані
вище задачі мають вирішуватися напівформальними (у деяких випадках - формальними)
шляхами із притягненням сучасних методів оптимального аналізу і синтезу структур Відповідальність за коректність визначення необхідного рівня захищеності
інформаційних ресурсів на АТС покладається на Замовника і Розроблювача системи ТЗІ.
Для підтвердження високих рівнів довіри до коректності моделі захисту АТС із боку
Експерта необхідно виконати ретельний аналіз усіх етапів розробки технічного завдання на створену систему ТЗІ для оцінюваної АТС.
4.11 Для оцінки коректності (слушності) КЗМЗ необхідно:

оцінити функціональну повноту такого комплексу, тобто переконатися, що всі заявлені
ФПЗ повною мірою реалізуються в оцінюваній системі
переконатися, що кожна з ФПЗ реалізується з рівнями стійкості механізмів захисту не меншими, ніж заявлені мінімально необхідні переконатися, що існуючі на АТС механізми захисту відтворюють заявлені ФПЗ
безпомилково - відповідно до нормуючих специфікацій цих послуг, що надані у НД ТЗІ 2.5-
001-99. Для оцінки коректності КЗМЗ Заявнику залежності від рівня довірчої оцінки передає
Експертові документи з різним ступенем глибини і деталізації.
У випадках невисоких претензійна довіру щодо коректності досить перевірити документацію рівня користувачів. У цих випадках Експертна підставі вивчення керівництв для користувачів і результатів "прогону" штатних функціональних тестів повинен переконатися, що є (або відсутні) зовнішні ознаки того, що в оцінюваній АТС дійсно реалізовані заявлені функції і механізми захисту.
У міру підвищення рівня довірчих оцінок відповідно підвищуються вимоги до ретельності і деталізації наданих для повторного огляду матеріалів. Зокрема, може виникнути необхідність у вивченні Експертом матеріалів робочого проектування - принципових схем технічних засобів, листінгів програм, спеціалізованих тестів і т.ін. Може також виникнути необхідність у проведенні додаткових випробувань з метою уточнення деталей функціонування того або іншого механізму захисту.
На високих рівнях довірчих оцінок у розпорядження Експерта повинна бути надана вичерпна інформація щодо техно-робочого проекту на систему ТЗІ для АТС і повна
інформація про результати приймально-здавальних випробувань (зокрема, і за критеріями
ТЗІ) із тим, щоб у нього склалося повне уявлення про роботу КЗМЗ.
4.12 У процесі оцінки коректності КЗМЗ необхідно підтвердити, що всі заявлені
функції і механізми захисту реально діють на оцінюваній АТС відповідно до нормуючих специфікацій, що наведені в НД ТЗІ 2.5-001-99. Ступінь ретельності (досконалості) такого підтвердження залежить від претензій Заявника до рівня довіри, із яким треба ставитися до оцінки коректності КЗМЗ.
4.13 Розробка коректної моделі захисту, а також коректна реалізація ФПЗ і механізмів захисту в повній відповідності з нормуючими специфікаціями ще не гарантують досягнення необхідного рівня захищеності інформаційних ресурсів на АТС. У системі ТЗІ на АТС
можуть бути , так звані "слабкі місця" або "виломи", через котрі або за допомогою яких можливі реалізації загроз для інформації.
Наприклад, функціонування певного засоба захисту через його якісну недосконалість може супроводжуватися утворенням побічного схованого каналу витоку. Становлять небезпеку різного роду побічні ефекти небажаної взаємодії функціонуючих засобів і
механізмів захисту. Недосконалість конструкції елементів АТС, зокрема і засобів захисту,
також може стати причиною загроз. Непередбачені можливості некоректного використання програмно-технічних засобів АТС внаслідок порушень правил їхньої експлуатації,
недосконалість прийомів експлуатації теж треба віднести до "слабких місць" системи ТЗІ.
Особливо небезпечні з позицій захисту інформації потенційно можливі шляхи (прийоми,
способи) обходу, обману, зміни, відключення, блокування реалізованих на АТС механізмів захисту. Тому аналіз "слабких місць" є необхідним елементом оцінки коректності КЗМЗ.
4.14 Якщо система ТЗІ на АТС забезпечує потрібні рівні стійкості до впливу прямих атак на використані механізми захисту, то ефективність такої системи захисту цілком залежить від рівня її досконалості стосовно слабких місць. Тому оцінка слабких місць у цьому документі називається оцінкою ефективності системи захисту Як правило, Заявник надає Експерту відомість (перелік) відомих "слабких місць"
у проекті системи ТЗІ (нарівні як технічного, такі робочого проектування, а у випадку
оцінки АТС у конкретних умовах експлуатації відомість, що відображає всі відомі Заявнику слабкі місця в експлуатації АТС. У цих відомостях повинно враховуватися кожне "слабке місце, міститися опис шляхів його створення і наслідків його можливого прояву,
показуватися заходи щодо нейтралізації або зменшення негативних наслідків такого прояву.
У необхідних випадках повинно бути надане пояснення (доказ, чому аналізоване "слабке місце" не впливає на політику безпеки на АТС , або чому воно не може проявитися вданих конкретних умовах експлуатації.
Повнота і ретельність аналізу "слабких місць, що представляється, повинна збільшуватися в міру жорсткості вимог до довірчої оцінки.
Якщо у випадках невисоких вимог до рівня довіри вимагаються обгрунтовані
пояснення щодо "слабких місць, то на вищих довірчих оцінках необхідно представити напівформальні або формальні докази відсутності негативного впливу "слабких місць" на захищеність інформаційних ресурсів АТС.
4.16 Експерт переглядає отримані від Заявника матеріали щодо аналізу "слабких місць, намагаючись виявити як некоректності в наданих обгрунтуваннях, такі невраховані
"слабкі місця" або "виломив захисті Оціночні роботи, що описані в 4.8 - 4.16, пов'язані з переглядом слушності
побудови і реалізації системи ТЗІ на АТС Передбачається, що якщо система ТЗІ коректна, то вона і дієва втому розумінні, що найбільш раціональним шляхом забезпечує необхідний Заявникові рівень захищеності
інформаційних ресурсів (не більше і не менше. Тому нормуючі умови, вимоги і показники, згідно яких оцінюється коректність системи ТЗІ, у цьому документі називаються критеріями дієвості Для оцінки рівня довіри до коректності реалізації системи захисту використовуються довірчі критерії, що описані в НД ТЗІ У цьому документі специфікується сім можливих рівнів довіри (сім градацій в оцінці
ступеня довіри) до коректності системи ТЗІ, як-от: рівні довіри ЕО, Е, Е, Е, Е, Е і Е6.
Найнижчий рівень довірчої оцінки - ЕО означає недостатню довіру до коректності
системи ТЗІ в оцінюваній АТС. Рівень довіри Е є початковим рівнем, нижче якого раціональна довіра не зберігається. Рівень Е специфікує найвищий ступінь довіри. Інші
рівні є проміжними Відповідно до прийнятого тут підходові до оцінки захищеності АТС при переході
від більш низьких довірчих оцінок до більш високих вимоги до зростання кількості і (або)
якості наданих на АТС функціональних послуг захисту не пред'являються, при цьому не пред'являються також вимоги до підвищення ступеня досконалості реалізованих у системі
механізмів захисту. Тут прийнято вважати, що визначена у процесі проектування системи ТЗІ
множина ФПЗ і створений у процесі реалізації проекту КЗМЗ або правильно (тобто,
коректно) або неправильно (тобто, некоректно) підтримує необхідний рівень захищеності
інформаційних ресурсів АТС, тобто є усього лише дві градації у визначенні коректності
системи захисту - коректна або некоректна.
У той же час, якщо система захисту визнана коректною, то ступінь довіри до зробленого виводу про її коректність можливо відбити за допомогою семи градацій рівня довіри - від ЕО до Е6.
При цьому вимоги до глибини і широти аналізу умов створення і використання системи ТЗІ, до рівня формалізації і строгості доказів коректності побудованих моделей захисту, до старанності експериментальних досліджень коректності при переході до більш високих оціночних рівнів довіри, як це видно зі специфікацій рівнів довіри НД ТЗІ 2.5-003-
99, істотно зростають.

4.20 У найпростішому випадку, коли Заявнику не потрібен високий рівень довіри до того, чи правильно спроектована і реалізована система захисту, то оціночні роботи можливо
істотно спростити, узявши за вихідний матеріал для оцінки документацію нарівні керівництва користувача і не виконуючи в процесі оцінки складних і трудомістких робіт з аналізу і тестування механізмів захисту або аналізу загрозі "слабких місць" у захисті.
У іншому крайньому випадку, коли необхідно забезпечити найвищий рівень довіри до коректності оцінюваної системи ТЗІ на АТС , Заявник повинен представити Експерту поряд
із документацією, що детально описує всі стадії життєвого циклу АТС (зокрема, середовище
її створення й експлуатації) ще і серйозні тести "на проникнення" і вичерпний аналіз "слабких місць" у захисті, а також формальні докази коректності реалізованої на АТС
технічної політики безпеки.
У реальному житті рівень довіри до коректності, що заявляється для оцінки,
знаходиться десь посередині між описаними вище випадками Прийнята в цьому документі методика оцінки не припускає наявності
однозначної залежності між вимогами до підтвердження коректності системи і рівня довіри до неї. Не всі комбінації функціональності і довіри можуть бути розумними або корисними.
Наприклад, якщо АТС призначена для опрацювання секретної інформації і, тому, уній реалізована якісна система ТЗІ з високою стійкістю механізмів захисту, то доцільно забезпечити високий рівень довіри до коректності такої системи.
З іншого боку, нерозумно вимагати високих довірчих оцінок до системи захисту, що побудована на базі механізмів з низькою стійкістю Для виконання оціночних робіт Заявник повинен надати Експерту можливість проведення спеціальних експериментальних досліджень програмних і технічних засобів оцінюваної АТС на розгорнутому працездатному зразку вироба (системи, а також штатні
контрольно-вимірювальні і діагностичні засоби, необхідну технічну й організаційно- розпорядницьку документацію Змісті обсяг здійснюваних у процесі оцінки експериментальних досліджень,
перелік, змісті форма необхідних для аналізу документів, рівень старанності (формалізації,
деталізації) обгрунтувань і доказів, які надаються Заявником щодо різних аспектів реалізованої на АТС системи ТЗІ, однозначно залежать від заявленого рівня довіри до коректності системи захисту. Така залежність відображена у відповідних специфікаційних вимогах (див. НД ТЗІ 2.5 - 001 - 99, НД ТЗІ 2.5 - 002 - 99, НД ТЗІ 2.5 - 003 - 99 ).
4.24 Заявник несе повну відповідальність за працездатність наданого в розпорядження
Експерта зразка виробу (системи, за працездатність і своєчасну перевірку штатних контрольно-вимірювальних і діагностичних засобів, за точність (слушність) наданої
документації.
4.25 У цій методиці для кожного оціночного рівня визначені вимоги до переліку,
змісту і формі документів, що повинний передати Заявнику розпорядження Експерта, і,
отже, заздалегідь їх підготувати ще до проведення оціночних робіт У процесі оцінювання за вищими рівнями довіри (починаючи з рівня Е) виникає
необхідність у розробці і виготовленні спеціальних схем дослідження "слабких місць",
глибоких тестів " на проникнення, моделювання дій "хакеров", формального опису політики безпеки. Всю вище перераховану роботу повинний узяти на себе Заявник і відповідати за повноту і коректність її виконання. Експерт може взяти на себе роботу з перегляду наданих
Заявником тестів, моделей, схем, аналізів, обгрунтувань і доказів. Він має право їх доповнювати й удосконалювати, досліджувати власними методами і засобами слабкі місця в захисті Для всіх оціночних рівнів, за винятком Е, Експерт повинен переважно
перепровіряти результати випробувань і аналізу, які Заявник надав у його розпорядження На оціночному рівні Е оцінка може робитися тільки за результатами аналізу документації користувачів. Заявнику цьому випадку може і не надавати результати випробувань системи ТЗІ для АТС .
4.29 У процесі оціночних робіт може з'ясуватися, що який-небудь аспект оціночного рівня не виконується, наприклад через відсутність необхідної інформації або внаслідок того,
що реальна характеристика оцінюваного об'єкта не відповідає нормуючим вимогам. У такому випадку Заявникові надається право в заздалегідь обумовлені терміни усунути зауваження
(наприклад, дати відсутню інформацію, виправити помилку, доопрацювати елемент захисту і
т.ін.). У протилежному випадку, оцінюваний об'єкт матиме результат оцінки за рівнем ЕО.
4.30. Для того, щоб оцінка була виконана ефективно із мінімальними витратами,
Експерт може співробітничати із Заявником і (або) Розроблювачем системи ТЗІ. Однак
Експерт повинен бути незалежним утому розумінні, що не брати участь у розробці системи
ТЗІ для оцінюваної АТС.


  1   2


База даних захищена авторським правом ©chito.in.ua 2017
звернутися до адміністрації

войти | регистрация
    Головна сторінка


загрузить материал