размера.
Информация о процессах. Датчики осуществляют сбор информации обо всех системных процессах и, в случае непредусмотренной остановки или запуска какого-либо важного процесса, информируют об этом. Данные Log-файлов на предмет обнаружения конкретных сообщений. Информация об изменениях в реестре. Для компьютеров, работающих под управлением ОС Windows 95/98 и Windows NT должен осуществлятся мониторинг изменений в системном реестре.
Сбор данных, контролируемых в ИТКС на уровне ОС должен осуществляться от следующих устройств и программных средств: сменных носителей информации (FDD, ZIP); портов COM, LPT и USB шины; системных сетевых библиотек ОС; системных библиотек файловой системы; системных библиотек менеджера памяти; системных библиотек разграничения доступа.
На уровне СУБД в ИТКС необходимо осуществлять сбор следующих данных:
Обобщенная информация о состоянии СУБД. Сюда входят данные о состоянии и количестве табличных разделов и конфигурационных файлов, статусе экземпляра БД.
Различные числовые конфигурационные параметры.
Подробная информация о состоянии табличных разделов (процент использованности и степень фрагментации).
Данные об активно используемых конфигурационных файлах, т.е. численный показатель интенсивности их ввода/вывода.
Данные о количестве пользователей и сеансов.
Действия администратора по изменению конфигурации СУБД.
Действия оператора по просмотру информации.
Имена файлов и таблиц БД, открываемых оператором.
Идентификаторы удаленных пользователей, подключающихся к СУБД.
Действия локальных и удаленных пользователей по просмотру и изменению информации в БД.
Основным источником информации о состоянии СУБД является системная таблица администратора, фиксирующая основные события в СУБД. При создании ИТКС, функционирующих в условиях воздействия СПМВ, в составе СПО каждого АРМ должен быть разработан модуль мониторинга. Модуль мониторинга предназначен для выдачи информации администратору, которая должна включать: идентификатор активного оператора АРМ; действия оператора по изменению конфигурации СПО; действия оператора по просмотру информации; функциональное назначение осуществляемых в настоящее время действий СПО; функциональное назначение файлов и таблиц БД, открываемых оператором; идентификаторы удаленных пользователей, подключающихся к СПО; действия удаленных пользователей по просмотру и изменению информации. Таким образом, комплексный контроль функционирования ИТКС на уровне СПО, ОС, СУБД и сети позволит своевременно обнаружить и нейтрализовать СПМВ злоумышленника.
Л.Г. Осовецкий, А.В. Птицын.
Россия, г. Санкт-Петербург, ООО «Рубеж-92»
ПРОБЛЕМЫ ПОСТРОЕНИЯ КОМПЛЕКСНЫХ СИСТЕМ ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА В ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМАХ
При планировании и организации работ по созданию комплексной системы защиты информации от несанкционированного доступа в телекоммуникационной
Секция
Комплексная защита объектов сложных систем
системе (КСЗИ НСД ТКС) необходимо руководствоваться основополагающими принципами необходимости и достаточности мер защиты. Для качественной реализации этих принципов на практике на первоначальном этапе следует предельно четко сформулировать концепцию построения КСЗИ НСД ТКС, определить ее цель и задачи. Кроме того, необходимо разработать критерии оценки, отражающие степень соответствия построенной КСЗИ НСД ТКС ее цели.
Идеальным случаем построения высококвалифицированной КСЗИ НСД ТКС является совпадение этапов ее создания с этапами создания защищаемой ТКС, так как при такой схеме удается добиться наиболее эффективной интеграции средств защиты информации с программно-аппаратной платформой. При получении неудовлетворительных результатов на каком-либо из этапов создания защищённой ТКС при такой схеме существует возможность итеративно пересмотреть определенные решения для достижения поставленной цели и таким образом избежать последствий дорогостоящих изменений на более поздних этапах.
В первую очередь следует учитывать, что в качестве исполнителей разработки КСЗИ НСД ТКС следует привлекать организации, имеющие соответствующие лицензии на право деятельности в области защиты информации и обладающие штатом квалифицированных специалистов. Однако на всем протяжении разработки защищенной ТКС ее владельцы должны участвовать в решении возникающих вопросов, оказывать консультативное содействие и уточнять поставленные задачи, в противном случае защищённая ТКС будет либо функционально несостоятельной, либо не будет удовлетворять запросы конечного пользователя.
Исходными данными для построения КСЗИ НСД ТКС является полный исчерпывающий перечень информационных ресурсов (подразумевающий их 100%-ю инвентаризацию) с указанием уровней конфиденциальности каждого ресурса и список лиц допущенных к той или иной информации. При этом следует руководствоваться принципом: “Все что не разрешено, то запрещено”, т.е. лица, не нуждающиеся в каком-либо информационном ресурсе по умолчанию не должны иметь к нему доступ. Также необходимо выявить маршруты перемещения информации в ТКС.
Следующим шагом является выявление перечня угроз на всех этапах жизненного цикла ТКС. Случай ориентации системы защиты информации только на угрозы, возникающие в процессе функционирования ТКС, следует признать неприемлемым, так как только в случае учета угроз на всех этапах жизненного цикла создание КСЗИ НСД ТКС является целесообразным.
Далее разрабатывается проект КСЗИ НСД ТКС на основе нормативноправовой базы в области защиты информации и определяется перечень планируемых к использованию средств защиты информации. Все средства защиты информации должны быть сертифицированы. В случае отсутствия на рынке требуемых средств защиты информации возможна разработка (доработка по согласованию с разработчиком) новых средств с их последующей сертификацией.
Важнейшей процедурой является также оценка стоимости проекта КСЗИ НСД ТКС, сопоставление ее со стоимостью ТКС и ценностью обрабатываемой информации. В случае получения неудовлетворительных результатов следует произвести корректировку проектных решений. Высокоэффективным методом снижения стоимости системы защиты информации, является локализация и изоляция информации с ограниченным доступом, что позволяет избежать избыточной защиты на всех участках ТКС. Также следует помнить, что стоимость КСЗИ НСД ТКС не должна превышать суммарной стоимости ущерба от утечки или уничтожения обрабатываемой ТКС информации. Только в этом случае создание КСЗИ НСД ТКС можно считать экономически эффективным. В любом случае градация
участков ТКС по уровням конфиденциальности обрабатываемой информации дает положительные результаты.
На последующем этапе целесообразно рассмотреть возможности интеграции планируемых к использованию средств защиты информации в единый комплекс, возможность централизованного управления. Необходимо стремиться к максимальной интеграции средств защиты информации по внешним интерфейсам для повышения качества КСЗИ НСД ТКС.
На этапах построения и приемо-сдаточных испытаний следует моделировать нештатные ситуации и отрабатывать действия по устранению их последствий.
В состав КСЗИ НСД ТКС должна быть включена подсистема текущего контроля уровня защищенности ТКС.
В штат службы безопасности предприятия необходимо ввести администратора информационной безопасности. Его должностные инструкции должны быть оформлены документально и базироваться на политике безопасности предприятия. В должностные инструкции необходимо внести перечень типовых действий при возникновении нештатных ситуаций.
Для построения высокоэффективной КСЗИ НСД ТКС необходимо на всех этапах жизненного цикла использовать инструментальные средства автоматизации проектирования, реализующие апробированные методики.
Е.М. Панченко, Б.Ф Платонов, Д.В. Суздалев Россия, г. Ростов-на-Дону, НИИ физики РГУ, УГТК РФ по ЮФО, ЗАО «Кордон»
НЕКОТОРЫЕ ОСОБЕННОСТИ КОНТРОЛЯ ЗАЩИТЫ ОБЪЕКТОВ
ИНФОРМАТИЗАЦИИ ОТ УТЕЧКИ ИНФОРМАЦИИ ПО КАНАЛАМ
НЕСАНКЦИОНИРОВАННОГО ДОСТУПА (НСД) К ИНФОРМАЦИИ В ХОДЕ ИХ АТТЕСТАЦИОННЫХ ИСПЫТАНИЙ И ПРОВОДИМЫХ КОНТРОЛЬНЫХ ПРОВЕРОК.
Представлены результаты анализа защищенности объектов информатизации Южного федерального округа от утечки по каналам НСД и соответствие реализации возможностей и настроек различных сертифицированных Гостехкомиссией России средств защиты от НСД установленным требованиям. Данные получены в процессе контрольных проверок объектов информатизации Управлением Гостехкомиссии России по ЮФО и аттестационных испытаний объектов информатизации, проведенных специалистами Закрытого акционерного общества «Кордон», аккредитованного Государственной технической комиссией при Президенте Российской Федерации в качестве органа по аттестации объектов информатизации.
Выявлены сложности в интеграции средств защиты информации (СЗИ) от НСД с используемыми на объектах информатизации средствами вычислительной техники и реализации достижения выполнения требований «Сборника руководящих документов (РД) по защите информации от несанкционированного доступа» Гостехкомиссия России, 1998 г. непосредственно самими системами защиты от НСД без использования дополняющего системную часть этих СЗИ НСД, комплекса организационно - режимных мероприятий (функциональную часть СЗИ НСД).
Проведен анализ ряда существующих систем защиты информации от несанкционированного доступа, используемых на объектах Южного федерального округа с точки зрения оптимизации подбора аппаратной и программной частей СЗИ от НСД максимально реализующие выполнение требований РД Гостехкомиссии России.
iiS