Для запроса q = {U, R, A} - набора U' вполне определенных групп пользователей, набора R' вполне определенных ресурсов и набора А' - правильно установленных полномочий процесс организации доступа состоит из следующих процедур:
1. Вызвать все вспомогательные программы, необходимые для предварительного принятия решений.
2. Определить из U те группы пользователей, которые принадлежат группе U. Затем выбрать из Р спецификации полномочий, которые соответствует выделенной группе пользователей. Этот набор полномочий F(U) определяет полномочия пользователя U.
3. Определить из Р набор F(Е) полномочий, которые устанавливают Е как основную операцию. Этот набор называется привилегией операции Е.
4. Определить из Р набор F(R) (привилегия единичного ресурса R) полномочий, которые определяют поднабор ресурсов из R', имеющего общие элементы с запрашиваемой единицей ресурса R. Полномочия, которые являются общими для 3-х привилегий в шагах 2, 3, 4 образуют D(q) – домен полномочий для запроса q:
D(q) = F(U)^F(E)*F(R).
5. Удостовериться, что запрашиваемый ресурс R полностью включается в D(q), т.е. любой элемент из R должен содержаться в некоторой единице ресурса, которая определена в домене полномочий D(q).
6. Осуществить разбиение набора D(q) на эквивалентные классы так, чтобы 2 полномочия попадали в эквивалентный класс тогда и только тогда, когда они специфицируют одну единицу ресурса. Для любого такого класса логическая операция ИЛИ или И выполняется с условием доступа элементов любого класса. Новый набор полномочий:
А. Один на единицу ресурса, указанную в D(q) есть F(u, q)
Б. Фактическая привилегия пользователя и по отношению к запросу q.
7.Вычислить ЕАС, условие фактического доступа соответствующую запросу q, осуществляя логическое И (ИЛИ) над условиями доступа членов F(u, q). Операция И (ИЛИ) выполнение над которой перекрывает единицу запрашиваемого ресурса.
8. Оценить ЕАС и принять решение о доступе: А. Разрешить доступ к R, если R перекрывается. Б. Отказать в доступе в противном случае.
9. Произвести запись необходимых событий.
10.Вызвать все программы необходимые для организации доступа после принятия решений.
11.Выполнить все программы, вытекающие для любого случая из условия 8.
12. Если решение о доступе было положительным, завершить физическую обработку. Достоинства модели: простота реализации. Пример - матрица доступа.
Недостаток модели: ее статичность, т.е. модель не учитывает динамику изменений состояний ВС, не накладывает ограничений.
2.6.3 Модель Белла-Лападула
В предыдущих моделях существовала проблема «Троянских коней».
Троянская программа - любая программа, от которой ожидают выполнение желаемых действий, а она выполняет и нежелательные действия. В модели Белла-Лападула такой проблемы не существует.
Классическая модель Белла-Лападула (БЛ) построена для анализа систем защиты, реализующих мандатное (полномочное) разграничение доступа. Возможность ее использования в качестве формальной модели таких систем непосредственно отмечена в критерии TCSEC «Оранжевая книга». Модель БЛ была предложена в 1975 г.
Пусть определены конечные множества: S - множество субъектов системы (например, пользователи системы и программы); О - множество объектов системы (например, все системные файлы); R={read, write, append, execute} - множество видов доступа субъектов из S к объектам из О, где read- доступ на чтение, write — на запись, append— на запись в конец объекта, execute — на выполнение.
Обозначим:
В ={ b⊆SЧ O Ч R} - множество текущих доступов в системе;
М - матрица разрешенных доступов, где M SO∈R- разрешенный доступ субъекта s к объекту о; L- множество уровней секретности, например
L = {U, C, S, TS},
где U<C<S<TS; (fs, fo , fc) ∈F = LSЧLOЧLS – тройка функций (fs ,fo,fc), определяющих:
fs = S →> L - уровень допуска объекта; fO =O→> L - уровень секретности объекта;
fs = S —→ L - текущий уровень допуска субъекта, при этом Vs∈SfC (s) ≤ fS (s); H — текущий уровень иерархии объектов (далее не рассматривается);
V= BЧMЧFЧH - множество состояний системы; Q — множество запросов системе;
D — множество решений системы D = {yes, no, error} ;
W⊆QЧDЧVЧV - множество действий системы, где четверка (q, d,v1,v2)∈Wозначает, что система по запросу qс ответом dперешла из состояния v1в состояние v2 ;
N0 — множество значений времени N0 = (0,1, 2, ...) ;
X — множество функций хx:N0 → Q, задающих все возможные последовательности запросов к системе;
Y- множество функций y : N0 → D , задающих все возможные последовательности ответов системы по запросам;
Z - множество функций z : N0 → V, задающих все возможные последовательности состояний системы.
Далее в модели БЛ дается ряд свойств, определений и теорем, позволяющих проверить систему -разрабатываемую или существующую - на предмет безопасности. Классическая модель БЛ предлагает общий подход к построению систем, реализующих мандатную (полномочную) политику безопасности. В модели БЛ определяется, какими свойствами должны обладать состояние и действия системы, чтобы она была безопасной согласно данному в модели определению. В то же время в модели не указывается конкретно, что должна делать система по запросам на доступ субъектов к объектам при переходе из состояния в состояние, как конкретно должны при этом изменяться значения элементов модели.
2.6.4 Средства разграничения доступа
Представленные здесь средства реализуют модели избирательного (дискреционного) доступа "DallasLock»
В комплексе «DallasLock» неявно используется атрибуты
R(d) = {Y, N},
Где Y- право полного доступа субъекта к объекту;N - отсутствие права.
В соответствии с этим любому субъекту ставится в соответствие либо список запрещенных объектов, либо список разрешенных объектов.
"SecretNet»
В системе «SecretNet» набор применяемых атрибутов шире:
R(s) = {R, W, X},
где
R - разрешение на чтение;
W - разрешение на модификацию;
X - разрешение на запуск задачи.
"Аккорд»
В СЗИ НДС «Аккорд» набор общих прав доступа:
R(a) = {R, W, C, D, N, V, O, M, E, G, X},
где
R- разрешение на открытие файлов только для чтения;
W - разрешение на открытие файлов только для записи;
С - разрешение на создание файлов на диске;
D - разрешение на удаление файлов;
N - разрешение на переименование файлов;
V- видимость файлов;
О - эмуляция разрешения на запись информации в файл; М - разрешение на создание каталогов на диске; Е - разрешение на удаление каталогов на диске; G - разрешения перехода в каталог; X- разрешение на запуск программ.
3. Управление защитой информации
3.1 Введение
В данном пособии под управлением будем понимать процесс целенаправленного воздействия на объект, осуществляемый для организации его функционирования по заданным правилам.
Основная (опосредованная) цель управления защитой информации - обеспечение реализации потенциальных возможностей информационной системы.
Непосредственная цель управления защитой информации - выработка и реализация своевременных и обоснованных решений, наилучших (оптимальных) с точки зрения реализации потенциальных возможностей системы защиты КИС в конкретных условиях.
Основные свойства и показатели эффективности процессов управления защитой информации:
Устойчивость управления - определяется способностью управлять с заданной эффективностью при активном вмешательстве нарушителя.
Непрерывность управления - возможность постоянно воздействовать на процесс защиты информации.
Скрытность управления защитой информации - определяется способностью воспрепятствовать в выявлении организации управления.
Оперативность управления определяется способностью своевременно и адекватно реагировать на действия злоумышленников и реализовывать управленческие решения к заданному сроку.
Обоснованность управления характеризуется всесторонним учетом условий решения поставленной задачи, применением различных моделей, расчетных и информационных задач, экспертных систем, опыта и любых других факторов, повышающих достоверность исходной информации и принимаемых решений.
Управление системой защиты и осуществление контроля за функционированием КИС - все это составляющие одной задачи - реализации политики безопасности.
Управление защитой информации представляет собой широкомасштабный и многогранный процесс начинающийся с формулирования положений политики безопасности организации и кончая регулярной оценкой защищенности КИС. Далее в настоящем разделе рассмотрены только некоторые составляющие процесса управления защитой информации в КИС.
3.2 Аудит
Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Различают внешний и внутренний аудит. Внешний аудит - это, как правило, разовое мероприятие, проводимое по инициативе руководства организации. Рекомендуется проводить внешний аудит регулярно. Внутренний аудит представляет собой непрерывную деятельность, которая осуществляется на основании утвержденного плана и в соответствии с правилами изложенными, например в «Положении о внутреннем аудите», подготовка которого осуществляется подразделением внутреннего аудита и утверждается руководством организации. Аудит безопасности информационных систем является одной из составляющих ИТ аудита. Целями проведения аудита безопасности являются:
• анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ресурсов КИС;