Специальные требования по защите информации. К ним относятся

Проблемы с несанкционированным доступом к конфиденциальной информации возникают в сети Internet довольно часто, заставляя пользователей обращаться к специальным средствам защиты данных. Эксперты прежде всего рекомендуют :

Установить своеобразный "брандмауэр" - защитную стенку в виде буфера на стыке между сетью Internet и внутрифирменными сетями. Буфер, контролируя доступ на этом стыке, позволяет защитить информационные ресурсы фирмы. Среди поставщиков таких продуктов можно назвать американские фирмы Raptor Systems, ANS CO+RE Systems, Semaphore Communications.

Маскировать пароли. Как известно, в системах UNIX все пароли, как правило, шифруются и разме­щаются в общедоступном файле. Это дает возможность хакерам в свободное время заняться дешиф­рованием паролей. Маскирование паролей, т.е. помещение зашифрованных паролей в некий файл, доступный только для системного администратора, является наиболее простым решением проблемы защиты от хакеров.

Шифровать все передаваемые по сети сообщения. Однако при этом могут возникать определенные сложности. В частности, шифрование нельзя использовать при передаче сообщений между локальными вычислительными сетями (ЛВС), использующими систему UNIX и систему Microsoft Mail. Кроме того, зашифрованные сообщения зачастую не проходят по сетям, в которых используется сжатие данных. Наконец, внедрению шифрования могут противодействовать правительственные органы. Так, в инте­ресах усиления национальной безопасности правительственные круги США хотели бы сохранить за собой возможность контроля сообщений, пересылаемых по сети Internet.

Защищена ли ваша электронная почта?

Предлагаем простой тест для оценки уровня защищенности электронной почты. Ответ "нет" хотя бы на один вопрос теста означает, что в сети может быть слабое место, через которое возможна утечка информации.

1. Предусматривает ли программное обеспечение электронной почты вашей ЛВС шифрование сообщений при их передаче по линиям связи?

2. Остаются ли сообщения в зашифрованном виде в процессе их ретрансляции или при хранении в почтовом ящике?

3. Остаются ли сообщения зашифрованными при пересылке между различными пакетами электронной почты?

4. Предоставляют ли ваши службы глобальной электронной почты услуги по шифрованию сообщений?

1. Что там должно быть

Как описано в "NIST Computer Security Handbook", обычно политика должна включать в себя следующие части:.

Предмет политики. Для того чтобы описать политику по данной области, администраторы сначала должны определить саму область с помощью ограничений и условий в понятных всем терминах (или ввести некоторые из терминов). Часто также полезно явно указать цель или причины разработки политики - это может помочь добиться соблюдения политики. В отношении политики безопасности в Интернете организации может понадобиться уточнение, охватывает ли эта политика все соединения, через которые ведется работа с Интернетом (напрямую или опосредованно) или собственно соединения Интернет. Эта политика также может определять, учитываются ли другие аспекты работы в Интернете, не имеющие отношения к безопасности, такие как персональное использование соединений с Интернетом.

Описание позиции организации. Как только предмет политики описан, даны определения основных понятий и рассмотрены условия применения политики, надо в явной форме описать позицию организации (то есть решение ее руководства) по данному вопросу. Это может быть утверждение о разрешении или запрете пользоваться Интернетом и при каких условиях.

Применимость. Проблемные политики требуют включения в них описания применимости. Это означает, что надо уточнить где, как, когда, кем и к чему применяется данная политика.

Роли и обязанности . Нужно описать ответственных должностных лиц и их обязанности в отношении разработки и внедрения различных аспектов политики. Для такого сложного вопроса, как безопасность в Интернете, организации может потребоваться ввести ответственных за анализ безопасности различных архитектур или за утверждение использования той или иной архитектуры.

Соблюдение политики. Для некоторых видов политик Интернета может оказаться уместным описание, с некоторой степенью детальности, нарушений, которые неприемлемы, и последствий такого поведения. Могут быть явно описаны наказания и это должно быть увязано с общими обязанностями сотрудников в организации. Если к сотрудникам применяются наказания, они должны координироваться с соответствующими должностными лицами и отделами. Также может оказаться полезным поставить задачу конкретному отделу в организации следить за соблюдением политики.

Консультанты по вопросам безопасности и справочная информация. Для любой проблемной политики нужны ответственные консультанты, с кем можно связаться и получить более подробную информацию. Так как должности имеют тенденцию изменяться реже, чем люди, их занимающие, разумно назначить лицо, занимающее конкретную должность как консультанта. Например, по некоторым вопросам консультантом может быть один из менеджеров, по другим - начальник отдела, сотрудник технического отдела, системный администратор или сотрудник службы безопасности. Они должны уметь разъяснять правила работы в Интернете или правила работы на конкретной системе.

2. Получение разрешения

Что такое организация? Политика (хорошая политика) может быть написана только для группы людей с близкими целями. Поэтому организации может потребоваться разделить себя на части, если она слишком велика или имеет слишком различные цели, чтобы быть субъектом политики безопасности в Интернете. Например, NIST - это агентство Министерства Торговли(МТ) США. Задачи NIST требуют постоянного взаимодействия с научными организациями в среде открытых систем. К другому подразделению МТ, Бюро переписи, предъявляется требование поддержания конфиденциальности ответов на вопросы при переписи. При таких различных задачах и требованиях разработка общей политики безопасности МТ, наверное, невозможна. Даже внутри NIST существуют большие различия в отношении задач и требований к их выполнению, поэтому большинство политик безопасности Интернета разрабатываются на более низком уровне.

Координация с другими проблемными политиками. Интернет - это только один из множества способов, которыми организация обычно взаимодействует с внешними источниками информации. Политика Интернета должна быть согласована с другими политиками в отношении взаимоотношений с внешним миром. Например:

Физический доступ в здания и на территорию организации. Интернет - это как бы электронная дверь в организацию. В одну и ту же дверь может войти как добро, так и зло. Организация, территория которой открыта для входа, наверное, уже приняла решение на основе анализа рисков, что открытость либо необходима для выполнения организацией своих задач, либо угроза слишком мала, что ей можно пренебречь. Аналогичная логика применима к электронной двери. Тем не менее, существуют серьезные отличия. Физические угрозы более привязаны к конкретному физическому месту. А связь с Интернетом - это связь со всем миром. Организация, чья территория находится в спокойном и безопасном месте, может разрешать вход на свою территорию, но иметь строгую политику в отношении Интернета.

Взаимодействие со средствами массовой информации. Интернет может быть формой для общения с обществом. Многие организации инструктируют сотрудников, как им вести себя с корреспондентами или среди людей при работе. Эти правила следовало бы перенести и на электронное взаимодействие. Многие сотрудники не понимают общественный характер Интернета.

Электронный доступ. Интернет - это не единственная глобальная сеть. Организации используют телефонные сети и другие глобальные сети(например, SPRINT) для организации доступа удаленных пользователей к своим внутренним системам. При соединении с Интернетом и телефонной сетью существуют аналогичные угрозы и уязвимые места.

3. Претворение политики в жизнь

Не думайте, что как только ваша организация разработает большое число политик, директив или приказов, больше ничего не надо делать. Оглянитесь кругом и посмотрите, соблюдают ли формально написанные документы (это в России-то?!). Если нет, то вы можете либо попытаться изменить сам процесс разработки документов в организации (вообще трудно, но тем не менее возможно), либо оценить, где имеются проблемы с ее внедрением и устранять их. (Если вы выбрали второе, вам вероятно понадобятся формальные документы).

Так как, к сожалению, разработка неформальной политики выходит за рамки данной публикации, этот очень важный процесс не будет здесь описан. Большинство политик обычно определяют то, что хочет большой начальник. Чтобы политика безопасности в Интернете была эффективной, большой начальник должен понимать, какой выбор нужно сделать и делать его самостоятельно. Обычно, если большой начальник доверяет разработанной политике, она будет корректироваться с помощью неформальных механизмов.

Раздел 1. Вопрос 1. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К): основные положения документа.

1.1. Настоящий документ устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации и является основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций (далее - учреждения и предприятия) независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.

Конфиденциальной информации - информации с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащейся в государственных (муниципальных) информационных ресурсах, накопленной за счет государственного (муниципального) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 №188), защита которой осуществляется в интересах государства (далее - служебная тайна);

Информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность (персональные данные) (В соответствии с Федеральным законом "Об информации, информатизации и защите информации" режим защиты персональных данных должен быть определен федеральным законом. До его введения в действие для установления режима защиты такой информации следует руководствоваться настоящим документом, за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.)

1.3. Для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, составляющей коммерческую, банковскую тайну и т.д.) (далее - коммерческая тайна), данный документ носит рекомендательный характер.

1.4. Документ разработан на основании федеральных законов "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", Указа Президента Российской Федерации от 06.03.97г. № 188 "Перечень сведений конфиденциального характера", "Доктрины информационной безопасности Российской Федерации", утвержденной Президентом Российской Федерации 09.09.2000г. № Пр.-1895, "Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти", утвержденного постановлением Правительства Российской Федерации от 03.11.94г. № 1233, других нормативных правовых актов по защите информации (приложение № 8), а также опыта реализации мер защиты информации в министерствах и ведомствах, в учреждениях и на предприятиях.

1.5. Документ определяет следующие основные вопросы защиты информации:

Организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;

Состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;

. порядок обеспечения защиты информации при эксплуатации объектов информатизации;

Особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;

Порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

Порядок разработки, производства, реализации и использования средств криптографической защиты информации определяется "Положением о порядке разработки, производства (изготовления), реализации, приобретения и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" (Положение ПКЗ-99), а также "Инструкцией по организации и обеспечению безопасности хранения, обработки и передачи по техническим каналам связи конфиденциальной информации в Российской Федерации с использованием сертифицированных ФАПСИ криптографических средств".

1.6. Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в установленном настоящим документом порядке в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации.

1.7. Защите подлежит информация, как речевая, так и обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в АС.

Защищаемыми объектами информатизации являются:

Средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;

Технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

Защищаемые помещения.

1.8. Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применение (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.

1.9. При ведении переговоров и использовании технических средств для обработки и передачи информации возможны следующие каналы утечки и источники угроз безопасности информации:

Акустическое излучение информативного речевого сигнала;

Электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящими за пределы КЗ;

Виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

Несанкционированный доступ и несанкционированные действия по отношению к информации в автоматизированных системах, в том числе с использованием информационных сетей общего пользования;

Воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств;

Побочные электромагнитные излучения информативного сигнала от технических средств, обрабатывающих конфиденциальную информацию, и линий передачи этой информации;

Наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы КЗ;

Радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств перехвата речевой информации "закладок", модулированные информативным сигналом;

Радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;

Прослушивание ведущихся телефонных и радиопереговоров;

Просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;

Хищение технических средств с хранящейся в них информацией или отдельных носителей информации.

1.10. Перехват информации или воздействие на нее с использованием технических средств могут вестись:

Из-за границы КЗ из близлежащих строений и транспортных средств;

Из смежных помещений, принадлежащих другим учреждениям (предприятиям) и расположенным в том же здании, что и объект защиты;

При посещении учреждения (предприятия) посторонними лицами;

За счет несанкционированного доступа (несанкционированных действий) к информации, циркулирующей в АС, как с помощью технических средств АС, так и через информационные сети общего пользования.

1.11. В качестве аппаратуры перехвата или воздействия на информацию и технические средства могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства перехвата информации "закладки", размещаемые внутри или вне защищаемых помещений.

1.12. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ. Это возможно, например, вследствие:

Непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем;

Случайного прослушивания телефонных разговоров при проведении профилактических работ в сетях телефонной связи;

Некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычислительных сетей;

Просмотра информации с экранов дисплеев и других средств ее отображения.

1.13. Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию (угроз безопасности информации) в конкретных условиях, в соответствии с ГОСТ Р 51275-99, составляют основу для планирования и осуществления мероприятий, направленных на защиту информации на объекте информатизации.

Перечень необходимых мер защиты информации определяется по результатам обследования объекта информатизации с учетом соотношения затрат на защиту информации с возможным ущербом от ее разглашения, утраты, уничтожения, искажения, нарушения санкционированной доступности информации и работоспособности технических средств, обрабатывающих эту информацию, а также с учетом реальных возможностей ее перехвата и раскрытия ее содержания.

1.14. Основное внимание должно быть уделено защите информации, в отношении которой угрозы безопасности информации реализуются без применения сложных технических средств перехвата информации:

Речевой информации, циркулирующей в защищаемых помещениях;

Информации, обрабатываемой средствами вычислительной техники, от несанкционированного доступа и несанкционированных действий;

Информации, выводимой на экраны видеомониторов;

Информации, передаваемой по каналам связи, выходящим за пределы КЗ.

1.15. Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России и/или ФАПСИ на право оказания услуг в области защиты информации.

При обработке документированной конфиденциальной информации на объектах информатизации в органах государственной власти Российской Федерации и органах государственной власти субъектов Российской Федерации, других государственных органах, предприятиях и учреждениях средства защиты информационных систем подлежат обязательной сертификации.

1.17. Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации (Здесь и далее под аттестацией понимается комиссионная приемка объекта информатизации силами предприятия с обязательным участием специалиста по защите информации.)

1.18. Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей учреждений и предприятий, эксплуатирующих объекты информатизации.

ГОСТ Р 53113.2-2009

Группа Т00

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

ЗАЩИТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, РЕАЛИЗУЕМЫХ С ИСПОЛЬЗОВАНИЕМ СКРЫТЫХ КАНАЛОВ

Information technologies. Protection of information technology and automated systems against security threats posed by use of covert channels. Part 2. Recommendations on protecting information, information technologies and automated systems against covert channel attacks

ОКС 35.040

Дата введения 2009-12-01

Предисловие

Предисловие

1 РАЗРАБОТАН Обществом с ограниченной ответственностью "Криптоком"

2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 15 декабря 2009 г. N 841-ст

4 ВВЕДЕН ВПЕРВЫЕ

5 ПЕРЕИЗДАНИЕ. Октябрь 2018 г.


Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

Введение

В настоящем стандарте установлены рекомендации по организации защиты информации (ЗИ), информационных технологий и автоматизированных систем от атак с использованием скрытых каналов (СК).

СК используются для систематического взаимодействия вредоносных программ (компьютерных вирусов) с нарушителем безопасности при организации атаки на автоматизированную систему (АС), которая не обнаруживается средствами контроля и защиты.



Настоящий стандарт разработан с учетом требований ГОСТ Р ИСО/МЭК 15408-3 и ГОСТ Р ИСО/МЭК 27002 , в которых предусматривается осуществление мероприятий по противодействию угрозам безопасности организации, реализуемым с использованием СК. В данных стандартах мероприятия по противодействию угрозам ИБ с использованием СК представлены в общем виде, а их детализация представлена в настоящем стандарте.

Кроме этого, существует ряд технологий по обеспечению информационной безопасности и нормативных документов (НД) ФОИВ (ФСТЭК России, в которых рассматриваются отдельные аспекты этой проблемы).

Так ГОСТ Р 51188 устанавливает общие правила организации и проведения испытаний программных средств и их компонентов с целью обнаружения и устранения в них компьютерных вирусов. В данном стандарте также регламентирован порядок проверки компьютера на наличие компьютерных вирусов и их устранение. Такая проверка может выявить агента нарушителя безопасности, используемого им для организации скрытого канала, но только в том случае, если агент не является неотъемлемой частью операционной системы или аппаратной платформы проверяемого компьютера. Поскольку антивирусные проверки не способны выявить всех потенциальных агентов, возникает необходимость в противодействии СК, которые такие "невидимые" агенты могут использовать для взаимодействия с нарушителем безопасности.

НТД ФСТЭК России установлена классификация программного обеспечения (как отечественного, так и зарубежного производства) для средств ЗИ, в том числе встроенных в общесистемное и прикладное программное обеспечение (ПО), по уровню контроля отсутствия в нем недекларированных возможностей. В процессе такой проверки недекларированные возможности, признанные неопасными, могут оказаться более опасными в процессе эксплуатации ПО в результате взаимодействия через СК с внешним нарушителем безопасности.

В НТД ФСТЭК России установлена классификация межсетевых экранов по уровню защищенности от несанкционированного доступа к информации путем выбора соответствующих показателей защищенности. Данные показатели содержат требования, предъявляемые к средствам ЗИ, реализованным в виде межсетевых экранов, обеспечивающие безопасное взаимодействие сетей ЭВМ АС посредством управления межсетевыми потоками информации. Межсетевой экран реализует функции ограничения сетевого взаимодействия, а также требования принятой политики информационной безопасности организации. Взаимодействие с использованием СК осуществляется в рамках ограничений, вводимых межсетевым экраном, поэтому СК могут функционировать даже при использовании правильно настроенного межсетевого экрана, имеющего достаточный уровень защищенности.

Настоящий стандарт также устанавливает типовой порядок организации противодействия СК, который может уточняться с учетом условий и особенностей применения информационных технологий в АС. Кроме того, могут разрабатываться и применяться дополнительные меры защиты.

Организация защиты ИТ и АС от атак с использованием СК включает в себя процедуры их выявления и подавления. Набор применяемых методов выявления и/или подавления СК должен определяться исходя из модели угроз безопасности организации.

Мероприятия по защите от атак с использованием СК должны быть интегрированы в систему информационной безопасности организации.

Настоящий стандарт применяется совместно с ГОСТ Р 53113.1 .

1 Область применения

Настоящий стандарт предназначен для заказчиков, разработчиков и пользователей информационных технологий в процессе формирования требований по защите информации на стадиях разработки, приобретения и применения продуктов, информационных технологий и автоматизированных систем в соответствии с требованиями нормативных правовых документов ФОИВ (ФСТЭК России) , или требованиями, устанавливаемыми обладателем информации.

Настоящий стандарт предназначен для органов сертификации, а также испытательных лабораторий при проведении подтверждения соответствия информационных технологий и автоматизированных систем требованиям к обеспечению безопасности информации, циркулирующей в этих системах, аналитических подразделений и служб безопасности.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ Р ИСО/МЭК 7498-1-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель

ГОСТ Р ИСО/МЭК 15408-3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности

ГОСТ Р ИСО/МЭК 27002 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента

ГОСТ Р 51188 Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство

ГОСТ Р 51901.1 Менеджмент риска. Анализ риска технологических систем

ГОСТ Р 53113.1-2008 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 53113.1 .

4 Обозначения и сокращения

В настоящем стандарте использованы следующие обозначения и сокращения:

АБС - автоматизированная банковская система;

ВОС - взаимосвязь открытых систем;

ИБ - информационная безопасность;

ИТ - информационная технология;

НСД - несанкционированный доступ;

СУБД - система управления базами данных;

HTTP - (hypertext transfer protocol) - протокол передачи гипертекста;

IP - (Internet protocol) - протокол интернета;

VPN - (virtual private network) - виртуальная частная сеть.

5 Механизм функционирования скрытого канала

5.1 СК используются для систематического взаимодействия вредоносных программ (компьютерных вирусов) с нарушителем безопасности при организации атаки на АС, которая не обнаруживается средствами контроля и защиты.

Опасность СК основана на предположении постоянного доступа нарушителя безопасности к информационным ресурсам организации и воздействии через эти каналы на информационную систему для нанесения максимального ущерба организации.

5.2 Общая схема механизма функционирования СК в АС представлена на рисунке 1.

1 - нарушитель безопасности (злоумышленник), целью которого является НСД к информации ограниченного доступа либо несанкционированное влияние на АС; 2 - информация ограниченного доступа либо критически важная функция; 3 - субъект, имеющий санкционированный доступ к 2 и 5 ; 3" - агент нарушителя безопасности, находящийся в замкнутом контуре с 2 и взаимодействующий с 2 от имени субъекта 3; 4 - инспектор (программное, программно-аппаратное, аппаратное средство или лицо), контролирующий(ее) информационное взаимодействие 3 , пересекающее замкнутый контур, отделяющий объект информатизации от внешней среды; 5 - субъект, находящийся вне замкнутого контура, с которым 3 осуществляет санкционированное информационное взаимодействие

Рисунок 1 - Общая схема механизма функционирования СК в АС

5.3 Взаимодействие между субъектами 3 и 5 является санкционированным и необходимым для правильной работы АС. Задача агента 3" заключается в том, чтобы обеспечить регулярное интерактивное взаимодействие между агентом и злоумышленником. Агент должен передать информацию ограниченного доступа 2 злоумышленнику 1 либо по команде злоумышленника 1 оказать воздействие на критически важную функцию 2 . Скрытность канала взаимодействия между злоумышленником 1 и агентом 3" заключается в том, что субъект 3 , инспектор 4 и субъект 5 не обнаруживают факт передачи информации или команды.

СК позволяют злоумышленнику регулярно интерактивно осуществлять взаимодействие со своим агентом, внедренным в АС.

5.4 В АС взаимодействие между агентом 3 и субъектом 5 может быть как сетевым, так и происходить внутри одной АС (см. 5.6).

5.5 Классификация СК по различным признакам приведена в ГОСТ Р 53113.1 .

5.6 Примеры СК, поясняющие механизм их функционирования, представлены ниже.

Пример 1 - Нарушитель безопасности (злоумышленник), сотрудничающий с конкурирующей организацией, в процессе внедрения (ввода в эксплуатацию) установил в АБС программного агента. Взаимодействуя с АБС в качестве клиента этого банка, злоумышленник передает программному агенту команды, закодированные в последовательностях его действий, каждое из которых не вызывает подозрений (проверка состояния счета, управление счетом, временные интервалы между операциями и др.). В ответ на команды, полученные по СК, агент по тем же СК возвращает злоумышленнику интересующие конкурента сведения об атакуемом банке (информацию о счетах других клиентов, объемах активов банков, любую другую инсайдерскую информацию, к которой агент имеет доступ) либо вносит изменения в базу данных о счетах клиентов или любую другую информацию, к которой он имеет доступ. Выявление существования такого агента может произойти только по косвенным признакам, которые могут возникнуть в результате появления изменений в базах данных. Скрытая утечка информации из базы данных, происходящая по такому СК, будет оставаться незамеченной. В этом случае в соответствии со схемой на рисунке 1:3" - программный агент, 3 - АБС, 2 - база данных, 4 - служба безопасности банка, 1 - злоумышленник, действующий в интересах конкурента, 5 - клиент банка.

Пример 2 - Злоумышленник, имеющий целью получение служебной информации с компьютера сотрудника, может действовать по следующему сценарию. Пусть ПК, защищенный межсетевым экраном, заражен троянской программой. Троянская программа получает от злоумышленника команды и отправляет в ответ на них информацию о зараженном ПК и хранящуюся на нем информацию ограниченного доступа, маскируя обмен как протокол HTTP, разрешенный межсетевым экраном. В этом случае в соответствии со схемой на рисунке 1:3" - троянская программа, 3 - программа, имеющая санкционированный доступ в Интернет, 2 - документ ограниченного распространения, 4 - межсетевой экран, 5 - узел сети Интернет, 1 - промежуточный узел сети, контролируемый злоумышленником.

Пример 3 - При использовании VPN также возможно построение СК взаимодействия агента со злоумышленником. Пусть пользователь использует свое рабочее место в качестве терминала удаленного доступа к серверу АС, т.е. информация о каждом нажатии клавиши отправляется терминалом на сервер. Злоумышленник установил на рабочее место пользователя атакуемой АС клавиатуру, содержащую агента. Агент перехватывает нажатия клавиш, а затем передает их по СК по времени, задерживая срабатывание некоторых клавиш по схеме, известной злоумышленнику. Злоумышленник, наблюдая поток пакетов между терминалом и сервером, выделяет из него информацию, передаваемую агентом по СК. Выделение скрытой информации возможно даже в случае использования криптографически защищенного канала между терминалом и сервером, так как для работы СК важно не содержимое пакетов, которыми терминал и сервер обмениваются друг с другом, а длительность временных интервалов между соседними пакетами.

В данном случае в соответствии со схемой на рисунке 1:3" - аппаратный агент, 3 - клавиатура, 2 - информация, вводимая с клавиатуры (например, пароль), 4 - любые средства обеспечения безопасности АС, не обнаруживающие закономерностей в потоках сетевых пакетов; 5 - терминальный сервер, 1 - злоумышленник.

Пример 4 - Генерация искусственных сбоев и ограничений на доступность может проводиться по СК. Например, агент, внедренный в один из ключевых компонентов АС, ожидает получения от злоумышленника некоторого условного сигнала. Получив этот сигнал, агент нарушает работу компонента АС, в которой он расположен. В результате происходит временная потеря работоспособности АС или ослабление ее защиты (если агент внедрен в средство обеспечения ИБ). Например, условным сигналом для активизации агента в общедоступном сетевом ресурсе может являться попытка аутентификации с некоторым фиксированным именем пользователя и паролем. Система разграничения доступа к сетевому ресурсу 4 не обнаружит данную атаку, поскольку попытка аутентификации является разрешенным действием. В данном случае в соответствии со схемой на рисунке 1:2 - критически важная функция, выполняемая компонентом АС (3), в который встроен агент 3"; 1 - злоумышленник, подающий агенту условный сигнал, который, с точки зрения 4, не является опасным, и поэтому не блокируется, 5 - АС.

Пример 5 - В соответствии со схемой на рисунке 1: операционная система 4 обеспечивает изоляцию программы 3, которая имеет доступ к конфиденциальной информации 2, от программы 1, выполняющейся в этой же операционной системе, но не имеющей такого доступа. Для передачи 1 информации ограниченного доступа агент нарушителя 3" организует СК по времени, производя фиктивные обращения к ресурсу 5, например, жесткому диску. Агент модулирует частоту обращений содержимым информации ограниченного доступа, которую ему необходимо передать. Программа 1, наблюдая за общесистемной нагрузкой на этот же ресурс, обнаруживает интенсивность воздействия на этот ресурс со стороны агента и может извлечь передаваемую агентом информацию из характера изменения этой интенсивности.

6 Правила формирования модели угроз безопасности с учетом существования скрытых каналов

6.1 Модель угроз безопасности формируется с учетом угроз, реализуемых с использованием СК. Эти угрозы должны учитываться при оценке рисков ИБ.

6.2 Угрозы безопасности, которые могут быть реализованы с помощью СК, включают в себя:

- внедрение вредоносных программ и данных;

- подачу злоумышленником команд агенту для выполнения;

- утечку криптографических ключей или паролей;

- утечку отдельных информационных объектов.

6.3 Угроза внедрения вредоносных программ и данных заключается в том, что, обладая возможностью интерактивно взаимодействовать с атакуемой АС, злоумышленник может передать в нее посредством СК вредоносные программы, обладающие необходимой ему функциональностью. Внедрение ложных данных в атакуемую АС может осуществлять непосредственно агент, с которым злоумышленник взаимодействует по СК. Например, если агент внедрен в СУБД банка, злоумышленник может передать ему команду на изменение хранящихся в базе данных сведений о счетах клиентов либо подменить хранящуюся в этой базе процедуру, оперирующую с данными о счетах, ложной, вредоносной процедурой, действующей в интересах злоумышленника.

6.4 Угроза подачи злоумышленником команд агенту для выполнения его функций заключается в том, что агент может оказывать влияние на АС, в которую он внедрен, по команде злоумышленника. Эти команды могут быть как простыми (например, заблокировать работу АС на некоторое время), так и более сложными (например, передать злоумышленнику по СК содержимое файла, хранящегося в атакуемой системе).

6.5 Угроза утечки криптографических ключей или паролей, отдельных информационных объектов возникает, если злоумышленнику удалось внедрить своего агента в АС так, чтобы агент имел доступ к ценным информационным активам (например, криптографическим ключам, паролям), СК могут быть использованы для несанкционированной передачи такой информации злоумышленнику. Поскольку ключи имеют сравнительно небольшой объем, даже канал с низкой пропускной способностью способен обеспечить их утечку.

7 Порядок организации защиты информации, информационных технологий и автоматизированных систем от атак, реализуемых с использованием скрытых каналов

7.1 ЗИ, ИТ и АС от атак, реализуемых с использованием СК, является циклическим процессом, включающим в себя следующие этапы, повторяющиеся на каждой из итераций процесса:

- анализ рисков для активов организации, включающий в себя выявление ценных активов и оценку возможных последствий реализации атак с использованием СК (см. раздел 8);

- выявление СК и оценка их опасности для активов организации (см. раздел 9);

- реализация защитных мер по противодействию СК (см. раздел 10);

- организация контроля за противодействием СК (см. раздел 11).

7.2 Цикличность процесса защиты от угроз ИБ, реализуемых с использованием СК, определяется появлением новых способов построения СК, неизвестных на момент предыдущих итераций.

8 Анализ рисков

8.1 Выбор мер противодействия угрозам ИБ, реализуемым с использованием СК, должен основываться на технико-экономической оценке или других методах оценки ценности информации. Кроме того, должны учитываться такие последствия, как утрата доверия к организации или подрыв деловой репутации организации и ее руководителя.

8.2 Следует выявить, какие из защищаемых информационных активов могут быть интересны потенциальному злоумышленнику, обладающему возможностью:

- встроить своего агента в АС в процессе ее разработки, развертывания, внедрения или эксплуатации;

- обнаружить в АС уязвимость (или встроенного агента), которая может быть использована для организации СК и получения доступа к защищаемым активам.

8.3 Для анализа рисков можно применять методологию по ГОСТ Р 51901.1 .

8.4 С целью снижения информационных рисков до приемлемого уровня должны быть выбраны и внедрены мероприятия по организации ЗИ от атак с использованием СК.

9.1 Порядок выявления СК включает в себя:

- оценку архитектуры АС и имеющихся в ней коммуникационных каналов;

- выявление возможных путей обмена скрытой информацией между злоумышленником и его предполагаемым агентом в АС;

- оценку опасности выявленных СК для защищаемых активов организации;

- принятие решения о целесообразности противодействия каждому из выявленных СК.

9.2 Оценка архитектуры АС подразумевает выявление всех имеющихся в ней коммуникационных каналов и анализ взаимодействия ее компонентов на предмет потенциального использования их для организации СК. В результате проведения такого анализа должны быть выявлены компоненты АС, в которых потенциально могут быть использованы СК.

9.3 Выявление возможных путей обмена скрытой информацией между злоумышленником и его предполагаемым агентом в АС проводится на основании общей схемы механизма функционирования СК (см. раздел 6). Следует для каждого из защищаемых активов 2 (см. схему на рисунке 1) выявить, какие субъекты 3 имеют к ним доступ и при этом изолированы от внешней среды, но имеют возможность взаимодействовать с отдельными субъектами из внешней среды 5 . При этом взаимодействие контролируется 4 и может также наблюдаться потенциальным злоумышленником 1 . При наличии этих элементов должен рассматриваться вопрос о возможном наличии потенциального СК между агентом 3" , встроенным в 3 , и субъектами во внешней среде 1 или 5 . В качестве примера такого СК может рассматриваться возможность злоумышленника наблюдать интервалы времени, формируемые компонентом АС, потенциально содержащим агента злоумышленника 1 .

9.4 С точки зрения злоумышленника использовать СК для нарушения ИБ в тех сегментах АС, где он может обмениваться информацией со своим агентом, используя канал, не контролируемый средствами ЗИ, является нецелесообразным. В этом случае нет необходимости в скрытии факта обмена информацией, потому что такой обмен защитными средствами не контролируется.

9.5 При оценке возможности взаимодействия посредством СК следует учитывать "непрозрачность" для определенных типов СК отдельных сегментов АС.

9.6 После выявления СК следует оценить, насколько они реализуемы и опасны для защищаемых активов организации. Эта оценка определяется объемом активов, пропускной способностью СК и временным интервалом, в течение которого активы сохраняют ценность. На основании этой оценки каналы, не представляющие реальной опасности для активов, признаются неопасными.

9.7 На основании оценки опасности СК с учетом результатов проведенного анализа рисков делается вывод о целесообразности или нецелесообразности противодействия таким каналам.

9.8 В качестве примера на рисунке 2 представлена семиуровневая модель взаимодействия открытых систем, определенная в подпункте 6.1.5 ГОСТ Р ИСО/МЭК 7498-1-99 .

Рисунок 2 - Обмен данными через ретрансляционную открытую систему

9.9 Каждый из уровней данной модели взаимодействует только с нижестоящим и вышестоящим уровнями, при этом верхние уровни открытой системы изолированы от нижних. Эта особенность может быть использована для маскировки СК, действующих на низком уровне, от контролера, находящегося на высоком уровне.

9.10 В случае если специальные средства обнаружения СК не применяются, наличие СК может обнаружить пользователь какой-либо из взаимодействующих систем, наблюдая изменение поведения этих систем или частичную потерю их работоспособности.

9.11 Ограничивающим фактором при выборе злоумышленником уровня модели взаимодействия открытых систем в качестве среды для организации скрытой передачи является "непрозрачность" ретранслирующих систем. Ретранслирующие системы не содержат исходного отправителя и конечного получателя данных, а лишь передают данные от одних систем другим, если они не соединены единой физической средой в соответствии с ГОСТ Р ИСО/МЭК 7498-1 .

9.12 При осуществлении ретрансляции в такой системе проводят интерпретацию полученной информации на всех уровнях модели, начиная с нижнего (физического) уровня, до уровня, на котором осуществляется ретрансляция данных. Затем, для передачи данных далее по сети, они вновь "спускаются" до физического уровня сети-получателя. В результате этого процесса, СК по памяти (см. подраздел 5.2 ГОСТ Р 53113.1-2008), использующие особенности протоколов, относящихся к более низким уровням, чем тот, на котором осуществляется ретрансляция, могут уничтожаться или ограничивать возможности скрытой передачи информации сквозь такую ретранслирующую систему.

10 Рекомендации по методам реализации защитных мероприятий по противодействию скрытым каналам

10.1 По результатам выявления СК формируется план мероприятий по противодействию угрозам, реализуемым с их использованием. Данные мероприятия могут включать в себя реализацию одного из уже известных (либо усовершенствование уже существующих) методов противодействия угрозам ИБ, реализуемым с использованием СК.

10.2 В качестве защитных мероприятий целесообразно использовать:

- снижение пропускной способности канала передачи информации;

- архитектурные решения построения АС;

- мониторинг эффективности защиты АС.

10.3 Выбор методов противодействия угрозам ИБ, реализуемым с использованием СК и формирование плана по их реализации определяется экспертами, исходя из индивидуальных особенностей защищаемой АС.

10.4 Примеры методов противодействия СК

Пример 1 - Противодействием угрозам, связанным с СК, является, в частности, нормализация трафика, заключающаяся в изменении значений полей сетевых пакетов так, чтобы исключить неоднозначность, которую потенциально можно использовать для организации СК. При этом разрушаются СК, использующие для своей работы такую неоднозначность. В результате нормализации трафика должно обеспечиваться сохранение функциональности исходного протокола, необходимой для выполнения возложенной на него задачи. Нормализация полей пакетов информации может заключаться в приведении значений полей в соответствие со спецификациями протоколов, помещении в поля пакетов фиксированных значений или записи в поля произвольных значений.

Пример 2 - Использование посредника (прокси-сервера), т.е. устройства, имеющего доступ к двум или более сетям, принимающего запросы от приложений, выполняющихся на узлах одной из доступных ему сетей, к приложениям, выполняющимся на узлах другой сети, а затем передающего ответы на эти запросы в обратном направлении. Применение посредника позволяет предотвратить использование для организации СК особенностей протоколов, обеспечивающих работу сети. Детали реализации этих протоколов (например, значений отдельных служебных полей пакетов этих протоколов) при использовании посредника не передаются напрямую из одной сети в другую, а формируются посредником заново. Таким образом, СК по памяти, использующие в качестве среды передачи сетевые протоколы, не будут обеспечивать скрытый обмен информацией между абонентами, разделенными посредником. Работоспособность приложений, взаимодействующих не напрямую, а "сквозь" (через) посредника, не будет нарушена, поскольку посредник учитывает особенности работы этих приложений. Это позволяет без принятия дополнительных мер перекрыть многие СК, связанные с синтаксисом и семантикой сетевого, а также транспортного протоколов. Тем не менее перекрыть каналы, работающие на уровне приложений, таким способом не удастся, так как скрытая информация будет проходить через посредника без изменений вместе с данными приложения. Применяемое приложение-посредник должно учитывать специфику используемых приложений и транспортных протоколов, чтобы полностью сохранить все их функции и не привести к потере производительности сети. В свою очередь, приложения могут быть разработаны с учетом использования посредника.

Пример 3 - Инкапсуляция трафика Интернет ("туннелирование") - транзитная передача пакетов из одной подсети в другую подсеть через третью сеть, при которой исходные пакеты "упаковываются" в пакеты туннельного протокола, передаваемые через третью сеть, представлена на рисунке 3.

Рисунок 3 - Инкапсуляция IP-пакетов

10.5 При использовании инкапсуляции с шифрованием и подтверждением целостности пакета возможно перекрытие СК по памяти между узлами, "внутренними" по отношению к шлюзу (т.е. теми узлами, которые формируют пакеты, проходящие по тоннелю), и "внешними" (шлюзы Интернет, через которые проходит маршрут, по которому отправляются пакеты тоннельного протокола). СК по времени (см. подраздел 5.3 ГОСТ Р 53113.1-2008), оперирующие с моментами времени, в которые происходит передача пакетов, не могут быть полностью перекрыты таким способом. Информация, связанная с размерами пакетов и временными интервалами между их появлением, также сохраняется при инкапсуляции, и может быть использована для работы СК.

11 Рекомендации по организации контроля за противодействием скрытым каналам

11.1 Контроль за противодействием СК заключается в выявлении фактов использования СК в защищаемой АС. Такое выявление может проводиться непрерывно либо по факту обнаружения признаков ущерба от использования СК. Для выявления использования СК могут применяться статистический или сигнатурный методы.

11.2 Статистический метод выявления СК подразумевает сбор статистических данных о пакетах, проходящих через защищаемый участок сети, без внесения в них каких-либо изменений. Выявление СК может проводиться как в режиме реального времени (что позволяет быстро реагировать на инциденты), так и автономно, используя данные, накопленные за предыдущие отрезки времени, что делает возможным проведение более глубокого их анализа.

11.3 Метод выявления СК на основе сигнатурного анализа аналогичен способу, используемому антивирусными программами для поиска вредоносных программ. При наличии набора известных реализаций СК, для каждой из них формируется сигнатура, представляющая собой набор признаков, которые свидетельствуют о том, что используется данная реализация СК. Затем инспектор 4 (см. рисунок 1) проводит поиск таких сигнатур в просматриваемом потоке данных в сети и делает вывод о наличии или отсутствии в нем действующего СК в той или иной реализации. Для эффективной работы такого метода необходимо постоянное обновление базы сигнатур, т.е. включение в нее сигнатур для ранее неизвестных реализаций СК.

11.4 При выявлении признаков (в том числе косвенных) использования СК или появлении новых способов построения СК анализ рисков проводят повторно.

Библиография

Электронный текст документа
подготовлен АО "Кодекс" и сверен по:
официальное издание
М.: Стандартинформ, 2018