Информационные ресурсы

Размещено на http://www.allbest.ru/

1. Ограничение права собственности на ИР

Основным и определяющим фактором, обеспечивающим законные интересы субъектов по защите информации, является возможность ограничения доступа к ней, право на тот или иной вид тайны. Остановимся на том, что в статье 6 Закон "Об информации":

1распространил право собственности на документированную информацию (информационные ресурсы);

2 определил, что отношения по поводу права собственности на информационные ресурсы регулируются гражданским законодательством;

3определил условия возникновения права собственности;

4определил условия и ограничения для экономического оборота информационных ресурсов;

5определил порядок совместного владения документированной информации.

Главной нормой является право собственника информационных ресурсов устанавливать в пределах своей компетенции режим и правила обработки, защиты информационных ресурсов и доступа к ним, хотя реализация такого права возможна только на основании законов, устанавливающих различные виды тайн. Последние рассматриваются как правовые механизмы защиты информации, реализующие определенную систему ограничения к ней доступа.

Особенности правового режима ИР

Одной из основных сфер действия Закона "Об информации" является формирование и использование информационных ресурсов (ИР) на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации. Статья 4 Закона выделяет следующие принципы установления правового режима ИР:

1порядок документирования информации;

2установление прав собственности на отдельные документы и отдельные массивы документов

3категорирование информации по уровню доступа к ней;

4порядок правовой защиты информации.

В вышеизложенной статье институт правового режима применяется к ИР и раскрывается его содержание. Только совокупность этих четырех составляющих обеспечивает все характеристики правового режима ИР и гарантирует возможность его защиты законом.

2. Условие возникновения права собственности на ИР

В отношении определения "общих прав собственности" на информацию Закон "Об информации" в определенной степени развивает нормы ГК, устанавливая в статье 5, что "документирование информации является обязательным условием включения информации в информационные ресурсы". А в статье 6 устанавливается, что информационные ресурсы как элемент состава имущества могут находиться в собственности граждан, органов государственной власти, органов местного самоуправления, организаций и общественных объединений, а также то, что информационные ресурсы могут быть товаром, за исключением случаев, предусмотренных законодательством. Например, не могут быть товаром информационные ресурсы, содержащие сведения, составляющие государственную тайну; неправомерно полученные информационные ресурсы

Документирование - это запись информации на различных носителях по установленным правилам. Документирование -- регламентированный процесс записи информации на бумаге или ином носителе, обеспечивающий ее юридическую силу. Документирование всегда осуществляется по определенным правилам, установленными правовыми нормативными актами или выработанными традицией

Документирование предполагает соблюдение установленных правил записи информации, специфических для каждого типа документов. Соблюдение этих правил придает юридическую силу создаваемым документам.

3. Понятие информации. Информация с ограниченным доступом

Информация - сообщение, осведомление о положении дел, сведение о чем-либо. Уменьшаемая неопределенность в результате получения сообщения (по теории вероятности). Отражение, передача разнообразия о любых объектах и процессах. Информация как объект права и, прежде всего, как объект гражданско-правовых отношений, имеет ряд особенностей:

1. Идеальность (виртуальность) информации. Это самая важная ее особенность как объекта права. Саму по себе информацию невозможно ощутить, поэтому в большинстве случаев она опосредуется в результате - действиях субъекта, осуществленных под влиянием воспринятой им информации, либо она становится объектом права после ее фиксации на материальном носителе.

2. Информация - неисчерпаемый ресурс, который можно использовать неограниченное количество раз, неограниченным числом пользователей (обладателей), экстерриториально и даже одновременно.

3. Информация "нелинейна" по своему характеру, т.е. количественные и качественные характеристики информации зачастую не находятся в зависимости друг от друга. Значительный объем полученных данных может не оказать на ход событий никакого значения, тогда как единичное краткое сообщение способно радикальным образом изменить ход событий или течение процесса.

4. Информация является самостоятельным объектом, т.е. существует отдельно от технологических решений ее хранения, передачи и обработки, а также отделена от среды, в которой находится.

Конфиденциальная информация - информация, доступ к которой ограничивается в соответствии с законодательством страны и уровнем доступа к информационному ресурсу. Конфиденциальная информация становится доступной или раскрытой только санкционированным лицам, объектам или процессам.

В -4 Коммерческая тайна

Гражданский кодекс Российской Федерации установил правовое положение коммерческой тайны в статье 139 "Служебная и коммерческая тайна":

1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности.

2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Общие аспекты : 1. Информация имеет действительную или потенциальную коммерческую (экономически значимую) ценность. 2. К ней нет свободного доступа на законном основании.3. Обладатель информации принимает достаточные для предотвращения утечки меры по ее охране.

механизм защиты коммерческой тайны в общем виде должен выглядеть следующим образом: 1. Экономически обоснованное отнесение сведений к коммерческой тайне с составлением и утверждением соответствующих перечней. 2. Установление режима доступа к этим сведениям, режима обращения с данными сведениями при их фиксации на различных материальных носителях, в том числе и порядка уничтожения материальных носителей.

3. Выработка механизма своевременного снятия ограничений на распространение данной информации (пересмотра перечней).

4. Установление договорного механизма обеспечения защиты сведений при необходимости их передачи партнерам по бизнесу и иным контрагентам

В-5 Банковская тайна

Важным видом конфиденциальной информации является банковская тайна или вид сведений, перечень которых, достаточно четко определен законом. Так статья 857 ГК "Банковская тайна" содержит следующиенормы:1. Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте.2. Сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и в порядке, предусмотренном законом.3. В случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков. Нормы ГК и Закона "О банках и банковской деятельности", декларируя гарантию на обеспечение банковской тайны, тем не менее устанавливают в общих чертах лишь один из механизмов ее защиты - порядок и условия выдачи этих сведений другим субъектам правоотношений, прежде всего уполномоченным органам государственной власти. В то же время в законе не раскрыто нормативное содержание гарантии защиты банковской тайны от попыток неправомерного доступа к ней, не намечены критерии защиты - прежде всего уровень ее достаточности. Поэтому во многих случаях окажутся неразрешимыми споры о том, по чьей вине произошла утечка конфиденциальной информации - по вине банка или самого клиента. Более того, клиент заведомо оказывается в худшем положении, так как не знает и не может знать уровня защиты информации в конкретном банке, соответствия его каким-либо стандартам. Поэтому этот вид тайны требует дальнейшего развития правового регулирования, установления необходимого уровня государственного контроля.

4. Содержание основных видов профессиональных тайн. Защита служебной тайны

Большую группу норм в действующем законодательстве составляют профессиональные тайны.

В российском законодательстве определены следующие виды профессиональных тайн:

1. Профессиональная тайна - общее название группы охраняемых законом тайн, необходимость соблюдения которых вытекает из доверительного характера отдельных профессий.

2. Тайна страхования - разновидность служебной, а также коммерческой тайны.

3. Тайна усыновления - тайна усыновления ребенка охраняется законом. Судьи, вынесшие решение об усыновлении ребенка, или должностные лица, осуществившие государственную регистрацию усыновления, а также лица, иным образом осведомленные об усыновлении, обязаны сохранять тайну усыновления ребенка.

4. Медицинская тайна - 5. Врачебная тайна - информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении.

6. Тайна голосования - тайна голосования является важным защитным механизмом честности, потому что она предоставляет избирателям полную независимость при отдаче голосов.

7. Сведения, сообщенные доверителям в связи с оказанием юридической помощи

8. Тайна совершения нотариальных действий

9. Сведения о страховании

10. Сведения о доноре и реципиенте

11. Военная тайна - сведения военного характера, специально охраняемые государством.

12. Информация о намерениях заказчика архитектурного проекта

13. Тайны связи - тайна переписки, телефонных переговоров, почтовых отправлении, телеграфных и иных сообщений, передаваемых по сетям электрической и почтовой связи, охраняется Конституцией Российской Федерации механизм защиты служебной тайны в общем виде должен выглядеть следующим образом.

1. Экономически обоснованное отнесение сведений к служебной тайне с составлением и утверждением соответствующих перечней.

2. Установление режима доступа к этим сведениям, режима обращения с данными сведениями при их фиксации на различных материальных носителях, в том числе и порядка уничтожения материальных носителей.

3. Выработка механизма своевременного снятия ограничений на распространение данной информации (пересмотра перечней).

4. Установление договорного механизма обеспечения защиты сведений при необходимости их передачи партнерам по бизнесу и иным контрагентам.

собственность информационный безопасность компьютерный

5. Понятие угроз информационной безопасности. Деревья угроз

Угроза безопасности информации -- совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.

Относительно вычислительной системы можно сказать, что угроза безопасности информации -- это возможное происшествие, преднамеренное или нет, которое может оказать нежелательное воздействие на активы и ресурсы, связанные с этой вычислительной системой. Следовательно, существование угрозы информационной безопасности еще не является достаточным условием нарушения этой безопасности. Тем не менее факт возможного нарушения требует принятия мер защиты.

В соответствии с угрозами безопасности информационных и телекоммуникационных средств и систем могут являться:

противоправные сбор и использование информации;

нарушения технологии обработки информации;

внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;

Деревья угроз

Для того чтобы компенсировать некоторые недостатки подхода, связанного с составлением произвольного списка угроз, был разработан более стройный подход к перечислению и описанию угроз -- создание дерева угроз. Разработка дерева угроз начинается с общего, абстрактного описания полного множества угроз, существующего для данной системы, а затем итеративным образом представляет детали, тщательно и постепенно описывая подмножества этого множества.

Дизъюнктивное отношение, как показано на рис. 1.2 а), основано на логической операции ИЛИ, в которой угроза может осуществиться только в том случае, если может осуществиться одна из подугроз. Конъюнктивное отношение, как показано на рис. 1.2 б), основано на логической операции И, в которой угроза может осуществиться в случае, если осуществляются все подугрозы

6. Оценка ущерба от нарушений информационной безопасности

Потенциальный ущерб для организации оценивается как низкий, если потеря доступности, конфиденциальности и/или целостности оказывает ограниченное вредоносное воздействие на деятельность организации, ее активы и персонал. Ограниченность вредоносного воздействия означает, что:

организация остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается заметно сниженной;

активам организации наносится незначительный ущерб;

организация несет незначительные финансовые потери;

персоналу наносится незначительный вред.

Потенциальный ущерб для компании оценивается как умеренный, если потеря доступности, конфиденциальности и/или целостности оказывает серьезное вредоносное воздействие на деятельность организации, ее активы и персонал. Серьезность вредоносного воздействия означает, что:

компания остается способной выполнять возложенную на нее миссию, но эффективность основных функций оказывается существенно сниженной;

активам организации причиняется значительный ущерб;

компания несет значительные финансовые потери;

персоналу наносится значительный вред, не создающий угрозы жизни или здоровью.

Потенциальный ущерб для организации оценивается как высокий, если потеря доступности, конфиденциальности и/или целостности оказывает тяжелое или катастрофически вредоносное воздействие на деятельность организации, ее активы и персонал, то есть:

компания теряет способность выполнять все или некоторые из своих основных функций;

активам организации причиняется крупный ущерб;

организация несет крупные финансовые потери;

персоналу наносится тяжелый или катастрофический вред, создающий возможную угрозу жизни или здоровью.

Категорировать необходимо и пользовательскую, и системную информацию, представленную как в электронной форме, так и в виде "твердой" копии. Открытая информация может не иметь категории конфиденциальности. Например, сведения, содержащиеся на общедоступном web-сервере организации, не имеют категории конфиденциальности, а их доступность и целостность оцениваются как умеренные.

При категорировании информационной системы принимаются во внимание категории хранимой, обрабатываемой и передаваемой средствами ИС информации, а также ценность активов самой ИС, т.е. берется максимум категорий по всем видам информации и активов. Для получения интегральной оценки следует взять максимум категорий по основным аспектам информационной безопасности.

7. Модели нарушителей. Неформальн. модель нарушителя. Модель нарушителя по Гостехкомисси

Нарушитель -- это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (возможно, из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т. п.) и использующее для этого различные возможности, методы и средства.

Часто типичным синонимом слова "нарушитель" в популярной литературе является слово "хакер". Однако это не совсем верно. Необходимо различать понятия "хакер" (hacker) и "кракер" (cracker), причем различие между этими типами лежит прежде всего в мотивации и квалификации.

Хакер -- человек, изучающий принципы и детали работы вычислительных систем. Кракер -- человек, нарушающий безопасность вычислительной системы со злыми намерениями.

Неформальная модель нарушителя- нарушителя отражает его практические и теоретические возможности, априорные знания, время и место действия и т. п. Для достижения своих целей нарушитель должен приложить некоторые усилия, затратить определенные ресурсы. Исследовав причины нарушений, можно либо повлиять на сами эти причины (конечно, если это возможно), либо точнее определить требования к системе залиты от данного вида нарушений или преступлений.

Внутренним нарушителем может быть лицо из следующих категорий персонажа: пользователи (операторы) системы, персонал, обслуживающий технические средства (инженеры, техники), программисты и т. п.

К внешним нарушителям, в свою очередь, относятся: клиенты (представители организаций, граждане), лица, случайно или умышленно нарушившие пропускной режим (без цели нарушить безопасность автоматизированной системы), любые лица я пределами контролируемой территории.

Всех нарушителей с использованием данного подхода можно классифицировать следующим образом.

1. По уровню знаний об автоматизированной системе:

знает функциональные особенности автоматизированной системы, основные закономерности формирования в ней массивов данных и потоков запросов к ним, умеет пользоваться штатными средствами;

обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживания;

обладает высоким уровнем знаний в области программирования и вычислительной техники, проектирования и эксплуатации автоматизированных информационных систем;

знает структуру, функции и механизм действия средств защиты, их сильный и слабые стороны.

2. По уровню возможностей (используемым методам и средствам):применяющий методы социальной инженерии;

применяющий пассивные средства (технические средства перехвата без модификации компонентов системы);

использующий только штатные средства и недостатки систем защиты для его преодоления (несанкционированные действия с использованием разрешенный средств), а также компактные магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;

применяющий методы и средства активного воздействия (модификация и подключение дополнительных технических средств, подключение к каналам передав данных, внедрение программных закладок и использование специальных инструментальных и технологических программ).

3. По времени действия:

в процессе функционирования системы (во время работы компонентов системы.

в период не активности компонентов системы (в нерабочее время, во время п.та1 новых перерывов в ее работе, перерывов для обслуживания и ремонта и т. п.);

как в процессе функционирования системы, так и в период не активности компонентов системы.

4. По месту действия: без доступа на контролируемую территорию организации;

с контролируемой территории без доступа в здания и сооружения;

внутри помещений, но без доступа к техническим средствам системы;

с рабочих мест конечных пользователей (операторов) системы;

с доступом в зону данных (баз данных, архивов и т. п.);

с доступом в зону управления средствами обеспечения безопасности системы.

Модель нарушителя по требованиям Гостехкомиссии

При этом в качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами автоматизированных систем, Согласно руководящим документам Государственной технической комиссии выделяются четыре уровня этих возможностей, определяемые иерархической классификацией, в которой каждый следующий уровень включает в себя функциональные возможности предыдущего.

Первый уровень определяет самый низкий уровень возможностей ведения диалога в автоматизированной системе -- запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень определяется возможностью управления функционированием автоматизированных систем,

Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств автоматизированных систем, вплоть до включения в состав средств вычислительной техники собственных технических средств с новыми функциями по обработке информации.

8. Модель Белла-Лападула. Модель "Китайской стены"

Модель "Китайской стены"

Брюэр и Нэш представили в 1989 году математическую теорию, выражающую динамическое изменение прав доступа. Модель, описываемая в терминах коммерческой политики безопасности, известна как "Китайская стена". Сначала определено понятие "Китайской стены", а затем -- множество правил, декларирующих то, что ни одна персона (субъект) не может получить доступ к данным (объекту) по некорректную сторону стены. Политика безопасности "Китайской стены" может быть представлена как кодекс, употребляемый специалистами по анализу рынка. Такой специалист не может советовать корпорации, если он имеет "внутренние данные" о корпорации-конкуренте, а может работать только с общедоступной рыночной информацией.

Основой политики "Китайской стены" является утверждение о том, что субъект может получить доступ к информации, не входящей в конфликт с любой информацией, к которой он имел доступ до этого. При этом изначально субъект может получить доступ к любому информационному ресурсу по своему выбору. Определяются классы конфликтов интересов, включающие в себя некоторые информационные ресурсы. Если субъект получил доступ к одному из этих ресурсов, то ему запрещается доступ к ресурсам, входящим в тот же класс конфликта интересов.

Модель Белла и Лападула

Идеи, лежащие в основе модели Белла и Лападула, берут происхождение из "бумажного мира". Белл и Лападула перенесли модель безопасности, принятую при работе с документами, в мир компьютерных систем. Основным наблюдением, сделанным Беллом и Лападулой, является то, что в правительстве США все субъекты и объекты ассоциируются с уровнями секретности, варьирующимися от низких уровней (неклассифицированных) до высоких (совершенно секретных). Кроме того, они обнаружили, что для предотвращения утечки информации к неуполномоченным субъектам этим субъектам с низкими уровнями секретности не позволяется читать информацию из объектов с высокими уровнями секретности. Это ведет к первому правилу модели Белла и Лападула.

Простое свойство безопасности, также известное как правило "нет чтения вверх" (No Read Up, NRU), гласит, что субъект с уровнем секретности x_s может читать информацию из объекта с уровнем секретности х_о, только если x_s преобладает над х_о Это означает, что если в системе, удовлетворяющей правилам модели Белла и Лападула, субъект с уровнем доступа "Секретный" попытается прочитать информацию из объекта, классифицированного как "Совершенно секретный", то такой доступ будет запрещен.

Белл и Лападула сделали дополнительное наблюдение при построении своей модели: субъектам не позволяется размещать информацию или записывать ее в объекты, имеющие более низкий уровень секретности. Например, когда "Совершенно секретный" документ помещается в "Неклассифицированное" мусорное ведро, может произойти утечка информации. Второе правило модели Белла и Лападула.

Свойство , известное как правило "нет записи вниз" (No Write Down, NWD), гласит, что субъект с уровнем секретности jc_i может писать информацию в объект с уровнем секретности х_д, только если х_о преобладает над x_s. Это означает, что если в системе, удовлетворяющей правилам модели Белла и Лападула, субъект с уровнем доступа "Совершенно секретно" попытается записать информацию в "Неклассифицированный" объект, то такой доступ не будет разрешен. Введение свойства разрешает проблему троянских коней, так как запись информации на более низкий уровень секретности, типичная для троянских коней, запрещена.

Правила запрета по записи и чтению отвечают интуитивным представлениям о том, как предотвратить утечку информации к неуполномоченным источникам. Основная теорема безопасности для модели Белла и Лападулы относится к проблеме индексации состояний системы, а не к проблеме безопасности. На самом деле определение безопасности в модели должно отражать реальную безопасность. Кроме этого, моделируемая система должна поддерживать эту безопасность.

9. Модель Биба. Модель Кларка-Вильсона

Модель Биба

В основе модели Белла и Лападула, как это было показано в предыдущей главе, лежат уровни секретности. При создании мандатной модели целостности вводится Аналогичное понятие -- уровни и категории целостности, образующие решетку. Так же как и в модели Белла и Лападула, в модели Биба уровни и категории целостности .ассоциируются с субъектами и объектами системы.

Рассмотрим правила модели Биба, которую часто называют инверсией модели Белла и Лападула.

Правило NRD мандатной модели целостности Биба определяется как запрет субъектам на чтение информации из объекта с более низким уровнем целостности. NRD является полной противоположностью правила NRU модели Белла и Лападула, за исключением того, что здесь используются уровни целостности, а не секретности, как в модели Белла и Лападула. Правило NWU мандатной модели целостности Биба определяется как запрет субъектам на запись информации в объект с более высоким уровнем целостности. Это правило является полной противоположностью правилу NWD модели Белла и Лападула для случая уровней целостности, а не секретности.

Одним из преимуществ этой модели является то, что она унаследовала многие важные характеристики модели Белла и Лападула, включая ее простоту и интуитивность.

Модель Кларка--Вилсона

В 1987 году Дэвид Кларк и Дэвид Вилсон представили модель целостности, которая отлич от мандатной модели Биба.

Созданию этой модели, которая известна как модель Кларка--Вилсона, предшествовал анализ методов управления документооборотом в неавтоматизированном офисе коммерческих организаций. При этом был рассмотрен ряд хорошо известных методов учета и сделана попытка распространения их на случай компьютерных приложений.

Основой для модели являются транзакции, состоящие из последовательности операций, переводящих систему из состояния в состояние.

Объекты в модели представлены в виде конечного множества D (данных), которое включает все наборы данных в компьютерной системе. Например, если рассматривается операционная система общего назначения, то D будет обозначать все файлы, структуры и другие хранилища информации, управляемые операционной системой.

Чтобы различать данные, обладающие и не обладающие целостностью, создатели модели разделили D на два непересекающиеся подмножества: 1. ограниченные элементы данных , целостность которых контролируется;

2. неограниченные элементы данных , целостность которых не контролируется. Субъекты включены в модель как множество компонентов, которые могут инициировать правильно сформированные транзакции, так называемые процедуры преобразования. Процедура преобразования в модели Кларка--Вилсона определяется как любая ненулевая последовательность элементарных действий субъекта над данными.

В модели также определено понятие процедуры утверждения целостности. IVP можно рассматривать как средство для доказательства целостности CDI.1.В системе должны иметься IVP, подтверждающая целостность любого CDI.

2..Применение любой ТР к любому CDI должно сохранять целостность этого CDI.

3.Только ТР могут вносить изменения в CDI.

4.Субъекты могут инициировать только определенные ТР над определенными CDI.

5.КВМ-тройки должны проводить политику разделения обязанностей субъектов. 6.Специальные ТР могут превращать UDI& CDI.

7.Каждое применение ТР должно регистрироваться в специальном CDI, доступном только для добавления информации; в данный CDI необходимо записывать информацию, достаточную для восстановления картины о работе системы.

8.Система должна распознавать субъекты, пытающиеся инициировать ТР. Это правило определяет механизмы предотвращения атак подмены.

9.Система должна разрешать производить изменения в списках авторизации только специальным субъектам (например, специалистам по безопасности).

10. Модель Харисона-Руззо-Ульмана (HRU-модель)

Несмотря на широкое освещение модели HRU, приведем основные положения модели в силу ее классического характера и сильнейшего методологического влияния на развитие теории компьютерной безопасности.

1. КС представляется тройкой сущностей:

- множеством исходных объектов О (o_h o₂, ..., о_м);

- множеством исходных субъектов S (s₁, s₂, .... s_N), при этом SO;

- матрицей доступа А, каждая ячейка которой специфицирует права доступа к объектам из конечного набора прав доступа R (r₁, r₂, ...r_к), т. е. A[s, о] R.

Права доступа r_i, размещаемые в ячейках матрицы доступа A[s, о], определяют совокупность допустимых (разрешенных) операций над объектом из полного набора возможных операций над объектами.

Заметим также, что модель HRU несколько отличается от рассмотренной субъектно-объектной модели КС, представляя субъектов доступа "активизированными" состояниями некоторого подмножества объектов системы (т. е. S О), что, с одной стороны, огрубляет саму суть субъектов доступа, но, с другой стороны позволяет ввести понятие доступа субъекта к субъекту.

2. Функционирование системы рассматривается исключительно с точки зрения изменений в матрице доступа.

В результате выполнения примитивного оператора осуществляется переход КС из состояния Q = (S, О, А) в новое состояние Q'= (S',O',A').

3. Состояния системы изменяются под воздействием запросов на модификацию матрицы доступа в виде команд

Каждое состояние системы Q_i является результатом выполнения некоторой команды _l, применимой по ее условиям к предыдущему состоянию Q_i-1

4. Безопасность системы определяется некоторыми условиями на начальное состояние системы Q_o, а также особенностями системы команд . Формулируется следующий критерий безопасности:

Определение 2. (Критерий безопасности в модели HRU). Система является безопасной относительно права r, если для заданного начального состояния Q_o= (S₀,0₀,A₀) ^не существует применимой к Q₀ последовательности команд, в результате которой право г будет занесено в ячейку матрицы A[s,o], в которой оно отсутствовало в начальном состоянии Q_o.

Определение 3. Система называется монооперационной, если каждая команда выполняет один примитивный оператор op_i.

Авторы модели HRU представили следующие теоремы, доказательство которых не приводится ввиду их громоздкости и доступности в литературе.

Теорема 1. Существует алгоритм, который проверяет, является ли исходное состояние монооперационной системы безопасным для данного права r.

Из теоремы 1 следует, что проблема безопасности может быть решена для монооперационных систем. К сожалению, теорема доказывает только само существование проверяющего алгоритма, но не дает каких-либо рекомендаций или других оснований для его разработки и построения.

Теорема 2. Задача определения безопасности для данного права r в системах с запросами произвольного вида (3) является алгоритмически неразрешимой.

Говоря иными словами, теорема 2 утверждает, что поведение систем на основе модели HRU с точки зрения безопасности является непредсказуемым!!!



11. Модель Take Grant. Модель Low-Water-Mark

Модель Take Grant используется для анализа систем с целью определения того, как информация или права доступа могут быть переданы от одного субъекта к другому.

Харрисон, Руззо и Ульман продемонстрировали, что основной вопрос безопасности в произвольной системе является неразрешимым. Для того чтобы определить условия, при которых данный вопрос разрешим, Джонс, Липтон и Шнайдер разработали модель защиты, называемую Take Grant, в которой вопрос безопасности не только разрешим, но разрешим за время, линейное по отношению к количеству объектов и прав. Основой работы является представление системы в виде направленного графа, з котором вершины есть субъекты (обозначаются на графе как *) или объекты системы (обозначаются на графе как О). В том случае, когда для рассуждений не имеет значения, объект или субъект представлен вершиной на графе, он обозначается символом Д. Направленные дуги на графе означают права, которые один объект имеет по отношению к другому. Множество прав R, кроме обычных прав доступа, содержит два права: право take (t) и право grant (g), изменяющих матрицу доступа. Модель обеспечивает множество правил переписывания графа, позволяющих изучать изменения графа вследствие передачи прав и изменения состояний системы.

Изменение состояний системы выполняется с использованием следующих правил переписывания графа.

1. Правило take. (Брать) Допустим, х, у и z -- вершины графа; х является субъектом; пусть х обладает правом / по отношению к z, a z обладает правом по отношению к у. Тогда правило take определяет новый граф G₁, добавляя дугу от х к у с правом . Данное правило может быть записано как "х берет право по отношению к у от z". 2. Правило grant.( Давать) Допустим, х,у и z -- вершины графа G_o; z является субъектом; пусть г обладает правом g по отношению к х и правом Р по отношению к у. Тогда правило grant определяет новый граф G,, добавляя дугу от х к у с правом р. Данное правило может быть записано как "z дает право Р по отношению к у для х".

Модель LOW-WATER-MARK (LWM)

Данная модель является конкретизацией модели Б-Л, а также дает пример того, что происходит, когда изменения уровня секретности объекта возможны. Политика безопасности прежняя: все объекты системы классифицированы по узлам решетки ценностей (MLS) и поток информации разрешен только "снизу вверх" .

В рассматриваемой системе один объект (неактивный), три операции с объектом, включающие запросы на доступ:

read, write, reset.

Эти операции используются несколькими субъектами (процессами), имеющими фиксированные уровни секретности (для простоты - классы секретности образуют линейный порядок). Напомним формальное требование политики о том, что информация может двигаться только "снизу вверх". Поток информации возможен тогда и только тогда, когда реализуется доступ субъекта к объекту вида w или r. При помощи r поток считается разрешенным, если fs(S)>fo(0).

При команде w поток считается разрешенным, еслисубъект S не может прочитать информацию в объекте уровня fs(S)<f0(0) и записать в объект, для которого fs(S)>f0(O), причем хотя бы в одном из этих соотношений неравенство строгое (напомним, что по условию текущие уровни субъектов fc(S)=fs(S) для любого S). Из этих свойств следует, что в системе должны выполняться условия ss и *. Условие ds автоматически выполняется, так как нет ограничений на доступ, кроме перечисленных.



12. Модель невмешательства. Белла-Лападула

Для разрешения проблемы скрытых каналов утечки информации была разработана модель, основанная на принципе невмешательства. В данной модели система является безопасной, если группы субъектов не вмешиваются в работу друг друга. Система в данной модели представлена как машина состояний, описанная следующим образом: S" {s₁,,..., s_e} -- множество субъектов, расположенных на различных уровнях секретности, = {₀, ₍,-..} -- множество состояний, О = {о₁, о₂, ...} -- множество выходов и Z = {z,, z₂,...} -- множество команд. Множество команд изменения состояний можно записать как С = S x Z нa основании того, что уровень секретности субъекта оказывает влияние на выполняемую команду. Тогда можно ввести следующее определение.

Определение 1. Функция изменения состояний Т: С х X --> Z описывает эффект выполнения команды с в состоянии . Функция выхода Т: С х Е --" О описывает выход машины при исполнении команды с в состоянии . Начальное состояние системы обозначается как ₀. Выход системы может быть описан как функция выполнения команд и начального состояния.

Определение 2. Допустим, T*{c_s, _i.) -- последовательность переходов состояний системы, а Р*(с, s.) -- соответствующий ей выход системы. Тогда proj (s, с, ) -- множество выходов P*(c_s, а), которые субъект s авторизован видеть (в том же порядке, в котором они появляются в Р*(с_i, а.)).

Теорема 1. Допустим, r -- политика безопасности, и система Xявляется непротиворечивой для переходов, для выхода и локально соответствует к Тогда X является безопасной в смысле невмешательства по отношению к r.

Теорема 2. Допустим, X -- система, удовлетворяющая описанным условиям. Тогда X безопасна в смысле невмешательства по отношению к политике r

Теорема 3. Если HIN и VIN независимы, а высокоуровневый и низкоуровневый пользователь подчиняются модели невмешательства, то (HIN, LOT) = 0.

13. Модель невыводимости. Белла-Лападула

Рассмотрим модель невыводимости, также базирующуюся на описании информационных потоков в системе. Модель невыводимости выражается в терминах пользователей и информации, связанных с одним из двух возможных уровней секретности.

Высокий и низкий

Модель Белла и Лападула ограничивает потоки информации в системе. Гоген и Месегуер сформулировали более жесткое условие безопасности. Низкоуровневые субъекты, осуществляющие ввод в систему на низком уровне, не должны иметь возможности сделать выводы о высокоуровневом выводе.

Рассмотрим систему с двумя каналами ввода и вывода, классифицированными как высокоуровневый (High) и низкоуровневый (Low).

Тогда если низкоуровневый субъект имеет доступ к низкоуровневому вводу и выводу и на основании этих данных может сделать заключение о высокоуровневом выводе, то имеет место утечка информации. Это определение безопасности незначительно отличается от определения безопасности, данного в модели невмешательства.

Рассмотрим в качестве примера машину состояний, описанную в примере в конце предыдущего параграфа. Когда операции выполняются пользователем High, должны изменяться только высокоуровневые биты; то же самое относится и к пользователю Low. Допустим, _о = (0, 0). Командами являются (HU, xor1), (LU, xorO), (LU, xor1), (LU, xorO), (HU, xor1), (LU, xorO). Выходом системы являются оба бита. Таким образом, включая начальное состояние, строка выхода будет 00101011110101. В данной строке нечетные биты -- высокоуровневые, а четные -- низкоуровневые. Данная функция является небезопасной в смысле невмешательства для пользователя Low. В связи с тем что данный пользователь допущен просматривать только Low биты, он видит строку 0001111. Удаление из последовательности высокоуровневых команд приведет к строке 00111, которую увидит пользователь Low. Это нарушает определение 4 для невмешательства. Однако из строки 00111 пользователь Low не сможет сделать выводов об удаленных командах, так как они не изменяют значений, которые он наблюдает, а изменяют только длину строки. Следовательно, данная система безопасна в смысле невыводимости.

14. Вероятностные модели

Модели этого типа исследуют вероятность преодоления системы защиты за определенное время Т. К достоинствам моделей данного типа можно отнести числовую оценку стойкости системы защиты. К недостаткам -- изначальное допущение того, что система защиты может быть вскрыта. Задача модели -- минимизация вероятности преодоления системы защиты.

1.1 Игровая модель

Игровая модель системы защиты строится по следующему принципу. Разработчик создает первоначальный вариант системы защиты. После этого злоумышленник начинает его преодолевать. Если к моменту времени Т, в который злоумышленник преодолел систему защиты, у разработчика нет нового варианта, система защиты преодолена. Если нет -- процесс продолжается. Данная модель описывает процесс эволюции системы защиты в течение времени.

1.2 Модель системы безопасности с полным перекрытием

Система, синтезированная на основании модели безопасности с полным перекрытием, должна иметь, по крайней мере, одно средство для обеспечения безопасности на каждом возможном пути проникновения в систему (рис.2.1)

В модели точно определяется каждая область, требующая защиты, оцениваются средства обеспечения безопасности с точки зрения их эффективности и их вклад в обеспечение безопасности во всей вычислительной системе. Считается, что несанкционированный доступ к каждому из набора защищаемых объектов О сопряжен с некоторой величиной ущерба для своего ущерба, и этот ущерб может (или не может) быть определен количественно.

С каждым объектом, требующим защиты связывается некоторое множество действий, к которым может прибегнуть злоумышленник для получения несанкционированного доступа к объекту. Можно попытаться перечислить все потенциальные злоумышленные действия по отношению ко всем объектам безопасности для формирования набора угроз Т, направленных на нарушение безопасности. Основной характеристикой набора угроз является вероятность проявления каждого из злоумышленных действий. В любой реальной системе эти вероятности можно вычислить с ограниченной степенью точности.

При анализе систем защиты информации модели данного типа позволяют оценить вероятность преодоления системы защиты и степень ущерба системе в случае преодоления системы защиты.

15. Модели безопасности. Понятие субъекта и объекта доступа

Данная модель характеризуется разграничением доступа между поименованными субъектами и объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту. Для каждой пары (субъект--объект) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу (объекту). Возможны два подхода к построению дискреционного управления доступом:

каждый объект системы имеет привязанного к нему субъекта, называемого владельцем. Именно владелец устанавливает права доступа к объекту; система имеет одного выделенного субъекта - суперпользователя, который имеет право устанавливать права владения для всех остальных субъектов системы.

Возможны и смешанные варианты построения, когда одновременно в системе присутствуют как владельцы, устанавливающие права доступа к своим объектам, так и суперпользователь, имеющий возможность изменения прав для любого объекта и/или изменения его владельца. Именно такой смешанный вариант реализован в большинстве операционных систем (UNIX или Windows семейства NT).

Дискреционное управление доступом является основной реализацией разграничительной политики доступа к ресурсам при обработке конфиденциальных сведений согласно требованиям к системе защиты информации.

Мандатное управление доступом Для реализации этого принципа каждому субъекту и объекту должны сопоставляться классификационные метки, отражающие место данного субъекта (объекта) в соответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа. КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных меток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).

КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов: субъект может читать объект, только если иерархическая классификация субъекта не меньше, чем иерархическая классификация объекта, и неиерархические категории субъекта включают в себя все иерархические категории объекта; субъект осуществляет запись в объект, только если классификационный уровень субъекта не больше, чем классификационный уровень объекта, и все иерархические категории субъекта включаются в неиерархические категории объекта.

Реализация мандатных правил разграничения доступа должна предусматривать возможности сопровождения изменения классификационных уровней субъектов и объектов специально выделенными субъектами. Должен быть реализован диспетчер доступа, то есть средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ должно приниматься только при одновременном его разрешении и дискреционными, и мандатными правилами разграничения доступа. Таким образом, должен контролироваться не только единичный акт доступа, но и потоки информации.

Ролевое разграничение

Основной идеей управления доступом на основе ролей является идея о связывании разрешений доступа с ролями, назначаемым каждому пользователю. Эта идея возникла одновременно с появлением многопользовательских систем. Однако до недавнего времени исследователи мало обращали внимание на этот принцип.

Ролевое разграничение доступа представляет собой развитие политики дискреционного разграничения доступа, при этом права доступа субъектов системы на объекты группируются с учетом их специфики их применения, образуя роли.

Такое разграничение доступа является составляющей многих современных компьютерных систем. Как правило, данный подход применяется в системах защиты СУБД, а отдельные элементы реализуются в сетевых операционных системах.

Задание ролей позволяет определить более четкие и понятные для пользователей компьютерной системы правила разграничения доступа. При этом такой подход часто используется в системах, для пользователей которых четко определен круг их должностных полномочий и обязанностей.

Роль является совокупностью прав доступа на объекты компьютерной системы, однако ролевое разграничение отнюдь не является частным случаем дискреционного разграничения, так как ее правила определяют порядок предоставления прав доступа субъектам компьютерной системы в зависимости от сессии его работы и от имеющихся (или отсутствующих) у него ролей в каждый момент времени, что является характерным для систем мандатного разграничения доступа. С другой стороны, правила ролевого разграничения доступа являются более гибкими, чем при мандатном подходе к разграничению.

Если подвести итог, то у каждой из перечисленных нами систем есть свои преимущества, однако ключевым является то, что ни одна из описанных моделей не стоит на месте, а динамично развивается. Приверженцы есть у каждой из них, однако, объективно посмотрев на вещи, трудно отдать предпочтение какой-то одной системе. Они просто разные и служат для разных целей.

Определение 1 Под субъектом доступа понимается активная сущность КС, которая может изменять состояние системы через порождение процессов над объектами, в том числе, порождать новые объекты и инициализировать порождение новых субъектов.

Определение 2 Под объектом доступа понимается пассивная сущность КС, процессы над которой могут в определенных случаях быть источником порождения новых субъектов.

16. Модели контроля доступа. Проблемы контроля целостности ядра системы

Модель Биба и Кларка-Вильсона

Контроль доступа, базирующийся на ролях (КДБР) рассматривает всю информацию, обрабатывающуюся в вычислительной системе организации, как принадлежащую данной организации.

В системах КДБР пользователи не могут передавать права на доступ к информации другим пользователям, что является фундаментальным отличием КДБР от дискреционного доступа.

КДБР принимает решение о доступе на основе информации о функции, которую пользователь выполняет внутри данной организации, -- роли этого пользователя. Например, в госпитале роли могут быть следующими: доктор, хирург, медсестра, фармацевт и т. д. При этом фармацевт (пользователь, выполняющий роль фармацевта) может получать доступ к информации о количестве выданного лекарства, но тип лекарства назначается доктором.

Присвоение роли пользователю и распределение полномочий роли в КДБР зависит от политики безопасности, принятой в системе. Роль можно понимать как множество действий, которые пользователь или группа пользователей может исполнять в контексте вычислительной системы организации. Понятие роли включает описание обязанностей, ответственности и квалификации субъекта. Функции распределяются по ролям администратором системы. Доступ пользователя к роли также определяется администратором системы.