• резервирование ресурсов и компонентов КИС.
По способу осуществления все меры по предотвращению угроз корпоративной информационной системы можно разделить следующим образом.
| Мера борьбы | Плюсы | Минусы |
| Контроль | Все действия пользователей фиксируются в журналах. Возможность расследовать любой инцидент. | Большой объем журналов. Засорение журналов «лишней» информацией. Невозможность оперативно отреагировать. Требуют полной занятости обслуживающего персонала. |
| Запрет | Нет необходимости контролировать действия пользователей. | Негибкое решение. Высока вероятность исключений из строгих правил. Минимум настроек ПО. |
| Разграничение | Гибкость. | Трудоемкость настройки. Высокие требования к квалификации персонала. |
Табл. 1. Преимущества и недостатки различных мер борьбы с угрозами КИС
Контроль в чистом виде, к сожалению, тем менее применим, чем больше информационная система. Кроме того, сразу же встает вопрос о целесообразности сбора этих данных, т.к. своевременно обработать их практически невозможно, или это требует создания отдельного отдела, занимающегося именно этой работой. Нельзя забывать и о том, что большинство данных актуально совсем непродолжительное время.
Запрет — очень негибкий инструмент. Запрет на использование отчуждаемых носителей информации может породить новые проблемы, связанные с тем, половина подразделений использовала их для общения с внешним миром: электронная почта налагает ограничения на размер пересылаемых файлов, налоговые органы принимают отчеты бухгалтерии только на дискетах и т.д. Кроме того, нельзя забывать о таком вопросе, как элементарная комфортность работы. Сотрудники, чувствующие за собой постоянный контроль, испытывающие жесткие ограничения при работе с компьютером, Интернетом, почтой или, к примеру, с телефонными переговорами, становятся нервными, раздражительными, копят внутри себя недовольство. Естественно, рано или поздно, это приведет к потере ценного сотрудника, или же к желанию сотрудника попробовать обойти эти ограничения и запреты.
Из всего вышесказанного можно сделать вывод, что контролировать и ограничивать, ставя все мыслимые и не мыслимые запреты, не имеет смысла. Лучше определить круг людей, которые по роду своей работы имеют доступ к конфиденциальной информации, и далее грамотно настроить систему разграничения прав доступа, несмотря на то, что обслуживание такой системы будет требовать кропотливой настройки и аккуратного сопровождения.
Таким образом, становится понятным, что одним из главных шагов на пути к обеспечению конфиденциальности информации является разграничение доступа сотрудников к ресурсам корпоративной информационной системы с целью ограничить спектр информации доступной тому или иному сотруднику пределами, необходимыми для исполнения им должностых обязанностей.
3. Механизмы разграничения доступа.
Рассмотрим наиболее актуальные механизмы разграничения доступа.
3.1. Дискреционная модель разграничения доступа
Дискреционная модель разграничения доступа определяется двумя свойствами:
• все субъекты и объекты идентифицированы;
• права доступа субъектов на объекты системы определяются на основании некоторого внешнего по отношению к системе правила.
Основным элементом систем дискреционного разграничения доступа является матрица доступов. Матрица доступов — матрица размером \S\ х \0\, строки которой соответствуют субъектам, а столбцы соответствуют объектам. При этом каждый элемент матрицы доступов M[s, о] с R определяет права доступа субъекта s на объект о, где R — множество прав доступа.
• При использовании дискреционного механизма управления доступом к нему предъявляются следующие требования:
• Система защиты должна контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.).
• Для каждой пары (субъект - объект) в средстве вычислительной техники (СВТ) должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).
• Система защиты должна содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.
• Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).
• Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения правил или прав разграничения доступа (ПРД), в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.
• Право изменять ПРД должно предоставляться выделенным субъектам (администрации, службе безопасности и т.д.).
• Должны быть предусмотрены средства управления, ограничивающие распространения прав на доступ.
К достоинствам дискреционной политики безопасности можно отнести относительно простую реализацию системы разграничения доступа. Этим обусловлен тот факт, что большинство распространенных в настоящее время компьютерных систем обеспечивают выполнение требований именно данной политики безопасности.
К недостаткам дискреционной политики безопасности относится статичность определенных в ней правил разграничения доступа. Данная политика безопасности не учитывает динамику изменений состояний компьютерной системы. Кроме того, при использовании дискреционной политики безопасности возникает вопрос определения правил распространения прав доступа и анализа их влияния на безопасность компьютерной системы. В общем случае при использовании данной политики безопасности перед системой защиты, которая при санкционировании доступа субъекта к объекту руководствуется некоторым набором правил, стоит алгоритмически неразрешимая задача — проверить, приведут ли его действия к нарушению безопасности или нет.
В то же время имеются модели компьютерных систем, реализующих дискреционную политику безопасности, которые предоставляют алгоритмы проверки безопасности.
Тем не менее, в общем случае дискреционная политика разграничения доступа не позволяет реализовать ясную и четкую систему защиты информации в компьютерной системе. Этим обусловливается поиск других, более совершенных политик безопасности.
3.2. Мандатная (полномочная) модель разграничения доступа
Мандатная (полномочная) модель разграничения доступа основана на мандатном разграничении доступа (Mandatory Access Control), которое определяется четырьмя условиями:
• все субъекты и объекты системы однозначно идентифицированы;
• задана решетка уровней конфиденциальности информации;
• каждому объекту системы присвоен уровень конфиденциальности, определяющий ценность содержащейся в нем информации;
• каждому субъекту системы присвоен уровень доступа, определяющий уровень доверия к нему в компьютерной системе.
Основная цель мандатной политики безопасности — предотвращение утечки информации от объектов с высоким уровнем доступа к объектам с низким уровнем доступа, т.е. противодействие возникновению в компьютерной системе неблагоприятных информационных потоков сверху вниз.
Во многом целью её разработки являлось устранение недостатков матричных моделей. Были разработаны так называемые многоуровневые модели защиты. Они предполагают формализацию процедуры назначения прав доступа посредством использования, так называемых меток конфиденциальности или мандатов, назначаемых субъектам и объектам доступа. Так, для субъекта доступа метки, например, могут определяться в соответствии с уровнем допуска лица к информации, а для объекта доступа (собственно данные) - признаками конфиденциальности информации. Признаки конфиденциальности фиксируются в метке объекта. Права доступа каждого субъекта и характеристики конфиденциальности каждого объекта отображаются в виде совокупности уровня конфиденциальности и набора категорий конфиденциальности. Уровень конфиденциальности может принимать одно из строго упорядоченного ряда фиксированных значений, например: конфиденциально, секретно, для служебного пользования, несекретно и т.п.
Основу реализации управления доступом составляют:
• Формальное сравнение метки субъекта, запросившего доступ, и метки объекта, к которому запрошен доступ.
• Принятие решений о предоставлении доступа на основе некоторых правил, основу которых составляет противодействие снижению уровня конфиденциальности защищаемой информации.
Таким образом, многоуровневая модель предупреждает возможность преднамеренного или случайного снижения уровня конфиденциальности защищаемой информации. То есть эта модель препятствует переходу информации из объектов с высоким уровнем конфиденциальности и узким набором категорий доступа в объекты с меньшим уровнем конфиденциальности и более широким набором категорий доступа.
• Требования к мандатному механизму состоят в следующем:
• Каждому субъекту и объекту доступа должны сопоставляться классификационные метки, отражающие их место в соответсвующей иерархии (метки конфиденциальности). Посредством этих меток субъектами объектам должны назначаться классификационные уровни (уровни уязвимости, категории секретности и т. п.), являющиеся комбинациями иерархических и неиерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.
• Система защиты при вводе новых данных в систему должна запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта ему должны назначатьсяклассификационные метки. Внешние классификационные метки(субъектов, объектов) должны точно соответствовать внутренним меткам (внутри системы защиты).