Informacinių sistemų projekto atestavimo tvarka. Konkrečių atakų scenarijų ir procesų analizė. Rizikos analizės ir valdymo veikla

Bendras aprašymas sertifikavimo procedūros automatizuotos sistemos dėl informacijos saugumo reikalavimų (Astakhovas)

TURINYS
Įvadas
Naudojama terminija

>Planavimas
Iniciacija
Analizė
Išteklių planavimas

Informacijos rinkimas
Dokumentai su saugos reikalavimais

Pagrindinė analizė
Tinkamumo vertinimas saugos reikalavimai
Vieningi informacinių technologijų saugumo vertinimo kriterijai
Apsaugos mechanizmų analizė
Apsaugos mechanizmų egzistavimo tikrinimas
Apsaugos mechanizmų diegimo metodikos apžvalga
Išsami analizė
Išsamios analizės metodai
Pastangų sutelkimo atliekant išsamią analizę strategijos
Konkrečių atakų scenarijų ir procesų analizė
Ataskaitų dokumentų rengimas pagal sertifikavimo rezultatus
Ataskaitų dokumentų turinys
Įvadas

Šiuolaikinėmis sąlygomis perspektyviausias būdas patikrinti pasiektą automatizuotų sistemų (AS) funkcionavimo kokybę ir saugumo lygį yra sertifikavimo procedūra. Nors daugelio komercinių atominių elektrinių sertifikavimas yra savanoriškas, yra gana didelė atominių elektrinių kategorija, kurioms pagal galiojančius teisės aktus sertifikavimas yra būtina sąlyga norint pradėti arba tęsti veiklą. Tai apima AS, skirtas apdoroti informacijai valstybės paslaptis, valdyti aplinkai pavojingus objektus ir vesti slaptas derybas.

Rusijoje sertifikavimas iš esmės tik pradedamas diegti į AS kūrimo ir naudojimo praktiką. Šiuo atžvilgiu yra daugybė neišspręstų problemų, įskaitant norminės dokumentacijos standartizavimo ir tobulinimo problemas, susijusias su sertifikavimui naudojamų dokumentų kūrimu, parinkimu ir pritaikymu bei jos įgyvendinimo tvarkos, kriterijų ir metodikos aprašymu. Šioms problemoms spręsti tikslinga pasitelkti pasaulio bendruomenės sukauptą patirtį.

Jungtinėse Valstijose devintojo dešimtmečio pradžioje buvo sudarytas rekomendacinių dokumentų rinkinys sertifikavimo srityje. Šių dokumentų tyrimas ir pritaikymas Rusijos sąlygoms gali žymiai pagreitinti vidaus reguliavimo sistemos kūrimo procesą. Dėl federalinės institucijos Jungtinėse Amerikos Valstijose pagrindinis dokumentas sertifikavimo srityje yra kintamosios srovės saugos atestavimo ir akreditavimo gairės (FIPS PUB 102).

Šis darbas yra bandymas panaudoti vidaus patirtį ir Amerikos reguliavimo sistemą, kuriant bendrą atominių elektrinių sertifikavimo vadovą informacijos saugumo reikalavimams.
Naudojama terminija

AE sertifikavimo sistema yra neatskiriama dalis vieninga sistema informacijos saugos priemonių (ISM) sertifikavimas ir informatizacijos objektų sertifikavimas pagal informacijos saugumo reikalavimus, kurių veikimo organizavimą vykdo Valstybinė techninė komisija prie Rusijos Federacijos prezidento. Pagal mūsų šalyje priimtą informacijos apsaugos nuo neteisėtos prieigos (UAS) koncepciją, šios problemos sprendimui yra dvi gana nepriklausomos kryptys: kryptis, susijusi su kompiuterinėmis technologijomis (CVT) ir kryptis, susijusi su AS. Skirtumas tarp šių sričių slypi tuo, kad svarstant SVT apsaugos klausimus apsiribojama tik programiniais ir aparatiniais sistemos veikimo aspektais, o AS apsauga apima organizacinių apsaugos priemonių svarstymą, fizinės prieigos, informacijos apsaugos nuo nutekėjimo techniniais kanalais klausimai ir kt. SVT yra programinės ir techninės įrangos įrankiai, sukurti ir tiekiami rinkai kaip elementai, iš kurių kuriama AS. Be informacijos saugos sistemų rinkinio, AS apima aptarnaujantį personalą ir jos veiklą užtikrinančią organizacinių priemonių sistemą, taip pat patalpas, informaciją vartotojui, popierinę dokumentaciją ir kt. Dviejų sąlyginai skirtingų informacijos apsaugos sričių buvimas yra mūsų šalyje vartojamos ir kitose šalyse priimtos terminijos skirtumo priežastis. Sąvoka „sertifikavimas pagal saugos reikalavimus“ Rusijoje vartojama kalbant apie CVT, o tas pats procesas, susijęs su AS, vadinamas atestavimu. Jungtinėse Valstijose abiem atvejais vartojama „sertifikavimo“ sąvoka.

Remiantis Amerikos gairėmis, saugumo reikalavimų sertifikavimas – tai organizacinių ir techninių priemonių visuma, kurią atlieka nepriklausomi ekspertai, siekiant patikrinti AS ar CVT įdiegtų saugumo mechanizmų atitiktį tam tikram reikalavimų rinkiniui. Saugumo reikalavimai naudojami kaip AS arba CVT saugumo lygio vertinimo kriterijus. Jie gali būti suformuluoti įstaigų valdymo dokumentuose valdo valdžia, padalinių ir tarpžinybinių įsakymų, nacionalinių ir tarptautinių standartų, standartizuotų apsaugos profilių ar saugos užduočių, taip pat konkrečios organizacijos ar AS naudotojų reikalavimų forma.

Pastaba: aiškumo dėlei likusioje šio straipsnio dalyje, kalbant apie AS, bus vartojamas mūsų šalyje priimtas terminas – sertifikavimas.

Esant teigiamam sertifikavimo testų rezultatui, sukuriamas specialus dokumentas – „Atitikties sertifikatas“, kuris patvirtina, kad bandomasis objektas atitinka standartų ar kitų norminių ir techninių dokumentų apie informacijos saugumą reikalavimus. Taigi pagrindinis sertifikavimo produktas yra atitikties sertifikatas. Tačiau ne mažiau svarbu ir tai, kad AE techninės priežiūros personalas, jos kūrėjai ir naudotojai aktyviai dalyvauja tikrinimo ir sertifikavimo testuose, dėl kurių didėja jų sąmoningumas saugos klausimais ir bendras AE saugumo lygis.

AS sertifikavimas pagal informacijos saugumo reikalavimus yra tik vienas iš bendrosios sertifikavimo procedūros aspektų, atliekamų siekiant užtikrinti, kad AS atitinka funkcionalumo, našumo, saugos, kokybės ir veiklos patikimumo reikalavimus. Todėl geriausia tai atlikti kaip dalį bendros kvalifikacijos procedūros, apimančios visus gamyklos veikimo reikalavimus ir dažnai taikant tuos pačius tyrimo ir bandymo metodus.

Amerikos norminiuose dokumentuose terminas „sertifikavimas“ vartojamas kalbant apie programinę įrangą, aparatinės įrangos komponentus, taikomąsias programas, sistemas, terminalus, tinklus ir kitus objektus. Sertifikuojamo objekto pobūdis turi minimalios įtakos bendram sertifikavimo procesui, nors turi didelę įtaką individualaus darbo detalėms.

Jungtinėse Valstijose terminas „AS saugumo akreditavimas“ reiškia įmonės vadovybės patvirtinimą, pagrįstą atestacijos rezultatais, leidžiantį naudoti AU gyvybiškai svarbiai ir (arba) konfidencialiai informacijai apdoroti tam tikroje veiklos aplinkoje.

Taigi akreditacija yra oficialus vadovybės leidimas naudoti šią AS tam tikroje veiklos aplinkoje. Nors šis apibrėžimas susijęs tik su „esminiais ir (arba) neskelbtinais duomenimis“, jis turėtų būti platesnis, kad apimtų svarbias IS, kuriose gali nebūti gyvybiškai svarbių ir (arba) neskelbtinų duomenų. Tokios AS laikomos kritinėmis dėl žalos, kuri gali būti padaryta organizacijai atsisakius teikti paslaugas šiai AS, o ne dėl neteisėto duomenų atskleidimo ar naudojimo.

Kritinės SS yra SS, kurioms reikalingas tam tikras saugumas, nes jos apdoroja neskelbtinus duomenis arba dėl jų netinkamo veikimo ar piktavališko manipuliavimo kyla žalos rizika.

Visi garsiakalbiai turi tam tikrą kritiškumo laipsnį. Svarbus klausimas yra susitarimo, pagal kurį AS turi būti sertifikuota, buvimas. Pageidautina turėti prioritetinį tokių AS sąrašą.
Sertifikavimo procedūros aprašymas

AE sertifikavimo procedūrą sąlygiškai galima suskirstyti į kelis nuoseklius etapus: planavimas, informacijos rinkimas, pagrindinė analizė, detali analizė, ataskaitinių dokumentų rengimas ir akreditavimas. Kiekvieno iš šių etapų turinys aptariamas toliau.
Planavimas

Sertifikavimo rengimo ir vykdymo plane turėtų būti nustatytos probleminės sritys, specialių žinių poreikiai, vertinimo procedūrai palaikyti reikalingų priemonių ir kiti klausimai, į kuriuos negalima atsakyti neatlikus atitinkamos pagrindinio vertinimo etapui būdingos analizės. konkrečią situaciją. Yra keturi planavimo etapai:
Iniciacija.
Analizė.
Išteklių planavimas.
Sertifikavimo plano dokumentacija.
1 pav. Atestavimo procedūros planavimas.

Iniciacija

Inicijavimo etape nustatoma bendra sertifikavimo schema ir derinama su darbo užsakovu. Schemoje nustatoma bendra darbų tvarka ir būtinos resursų sąnaudos. Svarstomi šie klausimai:
Informatizacijos objekto paskirtis, atliekamos funkcijos ir struktūra; AS ir joje apdorojamos informacijos kritiškumas; apklausos ribos; kliūtis ir problemines sritis; apsaugos priemonių komplekso sudėtis ir struktūra; įvairaus techninio profilio specialistų įtraukimas darbams atlikti.
Darbo laiko sąnaudų ir išteklių sąnaudų įvertinimas; ankstesnės rizikos analizės ir saugumo audito rezultatų, kuriais būtų galima nustatyti sertifikavimo darbų sudėtingumą ir apimtį, prieinamumą.
Ekspertų grupės sudėtis; pareigų paskirstymas tarp specialistų.
Veiksniai, turintys įtakos sertifikavimo testų kokybei ir gyliui.
Konkrečių reikalavimų tam tikram objektui buvimas, kurie turėtų būti naudojami kaip sertifikavimo kriterijus, be turimų norminių dokumentų.
Dokumentacijos, naudojamų apsaugos mechanizmų dokumentacijos prieinamumas ir išsamumas.
Organizacijos saugumo politikos prieinamumas ir dokumentavimas.

Priimta sertifikavimo schema sudaroma techninės užduoties ir darbo grafiko forma.
Analizė

Analizė yra pagrindinė planavimo proceso dalis. Analizės metu svarstomi šie klausimai:
Saugos reikalavimai
Pradiniai duomenys
Atestavimo ir darbų paskirstymo ribos

Saugumo reikalavimų analizė

Sertifikavimo tikslas – patikrinti, ar tiriamas AS atitinka jam keliamus saugos reikalavimus. Todėl analizė pradedama nuo saugumo reikalavimų svarstymo. Pagrindinis sertifikavimo kriterijus yra reikalavimai, suformuluoti Rusijos Federacijos valstybinės techninės komisijos reglamentuojančių dokumentų forma, Rusijos Federacijos įstatymai, vidaus, tarpžinybiniai, nacionaliniai ir tarptautiniai standartai. Kiekvienai AE taip pat svarstomas vidinių reikalavimų rinkinys, kuris formuluojamas remiantis rizikos analizės rezultatais ir atsižvelgiama į tiriamos AE veiklos aplinkos specifiką ir ypatumus. Kai kurie vidiniai reikalavimai gali būti labai specifiniai konkrečiai AS ir susiję su duomenų kritiškumu, tam tikros rūšies informacijos atskleidimo apribojimais ir kitomis saugumo problemomis.
Pradinių duomenų sudėties analizė

Siekiant parengti sertifikavimo testų programą ir metodiką, be standartinio pradinių duomenų sąrašo, esančio Valstybinės technikos komisijos RD „Informatizacijos objektų sertifikavimo pagal informacijos saugumo reikalavimus nuostatai“, taip pat būtina numatyti. papildomi duomenys, kurių sudėtis nurodoma kiekvienoje konkrečioje situacijoje. Pavyzdžiui, pranešimai apie žinomas AS silpnybes, UA bandymai gauti informaciją ar pranešimai apie problemas, iškilusias per ankstesnį jos veikimo laikotarpį, lemia poreikį rinkti papildomą informaciją iš siauresnių sričių.

Organizacijos, kuriai priklauso ar eksploatuojama atominė elektrinė, vadovybė gali turėti savo nuomonę dėl informacijos, kuri gali būti pateikta kaip įvestis sertifikavimui. Planuojant reikia atsižvelgti į šias nuomones. Pavyzdžiui, siekiant užtikrinti komercinių paslapčių saugumą, tarp užsakovo ir rangovo gali būti sudaryta konfidencialumo sutartis.
Atestavimo ir darbų paskirstymo ribų nustatymas

Nustatant sertifikavimo ribas, būtina vienodai atsižvelgti į organizacinį, fizinį ir programinės bei techninės įrangos saugumo lygį. Priešingu atveju sertifikavimo rezultatai neatspindės tikrojo AS saugumo lygio. Pavyzdžiui, patikimi techninės apsaugos metodai bus nenaudingi, jei administracinės priemonės bus neteisingai apibrėžtos arba fizinės apsaugos priemonės bus netinkamos.

Nustačius patvirtinimo apimtį, prielaidos apie veiklos aplinką turėtų būti dokumentuojamos. Pavyzdžiui, jei operacinė sistema nepatenka į tiriamo objekto ribas, tuomet būtina dokumentuoti prielaidą, kad OS užtikrina pakankamą pagrindinį saugumo lygį tokiose srityse kaip proceso izoliavimas, autentifikavimas, autorizavimas, stebėjimas, vientisumo kontrolė, įvykių registravimas ir apskaita ir tt p. Prielaidos dėl AS aplinkos ir veiklos sąlygų nurodytos „Atitikties sertifikate“ ir yra būtina sąlyga leisti apdoroti svarbią ar konfidencialią informaciją AS.

Nustačius atestavimo ribas, vykdomas atsakomybės paskirstymas tarp ekspertų grupės specialistų. Daugeliu atvejų rengiant ir atliekant sertifikavimo testus reikia dalyvauti įvairaus techninio profilio specialistams.

Nustatant ekspertų grupės sudėtį ir darbo paskirstymą, atsižvelgiama į daugybę AS savybių. Pagrindinės charakteristikos, į kurias atkreipiamas dėmesys, yra AS programinės ir techninės įrangos komponentų skaičius ir sudėtingumas bei jų dokumentacija.

AS programinės ir techninės įrangos komponentų skaičius ir sudėtingumas lemia sertifikavimui reikalingą darbo kiekį. Be to, reikėtų atsižvelgti į tokias AS ypatybes, kaip fizinis, loginis ar funkcinis jos komponentų pasiskirstymas.

AS dokumentavimas yra svarbus veiksnys planuojant sertifikavimo procedūrą. Būtina atsižvelgti į tai, kad yra AE informacijos saugumo posistemio aprašas, įskaitant apsaugos mechanizmų aprašymą, apsaugos priemonių rinkinį ir organizacinių priemonių sistemą; ar dokumentacijoje daromas skirtumas tarp saugumo mechanizmų ir kitų mechanizmų; ar funkciniai reikalavimai pagrįsti dokumentais, ar yra sistemos specifikacijos, bandymų dokumentacija, informaciniai vadovai ir kt. Taip pat atsižvelgiama į pateiktos dokumentacijos išsamumą, jos atitiktį esamai būklei, norminės ir metodinės dokumentacijos reikalavimus.
Fokusavimo sritys

Atliekant sertifikavimo testus, pagrindinis dėmesys turėtų būti skiriamas komponentams ir posistemiams, kurie perduoda, apdoroja ir saugo svarbiausią informaciją. Informacijos kritiškumą lemia galimos žalos dydis, kuri gali būti padaryta organizacijai pažeidus šios informacijos saugumą.

Be informacijos kritiškumo, didesnio dėmesio sričių apibrėžimą gali turėti ir kiti veiksniai. Pavyzdžiui, mažiau dėmesio gali būti skiriama tiems AS komponentams, kurių visi pažeidžiamumai jau gerai žinomi. Tačiau šių pažeidžiamumų buvimas turėtų būti dokumentuojamas.

Sertifikavimo metu didesnio dėmesio ir pastangų sutelkimo sritims nustatyti gali būti naudojami įvairūs ekspertinio vertinimo metodai. Pavyzdžiui, plačiai paplitęs Delphi metodas. AE saugos audito arba kompleksinio audito rezultatai, rizikos analizės rezultatai ir duomenys apie įvykusius saugumo pažeidimus gali būti pirminiai duomenys priimant sprendimą. Ypatingo dėmesio reikalaujančius pažeidžiamumus galima nustatyti atliekant vartotojų ir aptarnaujančio personalo apklausas.
Reikalingas detalumo lygis

Daugeliu atvejų, norint gauti adekvačius rezultatus, pakanka atlikti pagrindinę AS saugumo mechanizmų analizę, kuri leidžia nustatyti bendrą jos saugumo lygį ir saugumo reikalavimų atitikimo laipsnį. Pagrindinė analizė apsiriboja funkcinių specifikacijų lygiu ir apima patikrinimą, ar nėra kompozicijoje komponentų sistemos kurie įgyvendina reikiamus saugumo reikalavimus.

Kai kuriose situacijose dėl didelio apdorojamos informacijos kritiškumo arba kai saugumo mechanizmai yra žemesniuose abstrakcijos lygiuose ir nematomi aukštesniuose lygiuose, pateisinama išsami analizė. Detalioje analizėje jie neapsiriboja konstatavimu, kad yra būtinos apsaugos funkcijos, bet ir įvertina jų įgyvendinimo efektyvumą.

Yra daug kriterijų, pagal kuriuos nustatomas sertifikavimo detalumo lygis. Daugeliu atvejų pagrindiniai kriterijai yra šie: AS kritiškumas, šaltinio duomenų sudėtis (pavyzdžiui, programos šaltinio kodų prieinamumas) ir saugos mechanizmų išdėstymas (naudojamos įmontuotos arba nustatytos apsaugos priemonės). Kiti kriterijai gali būti: kliento reikalaujamas detalumo laipsnis, AS dydis ir sudėtingumas, ekspertų patirtis. Aukščiau išvardytų kriterijų pagrindu priimti sprendimai gali būti taikomi tiek visai AE, tiek atskiriems jos komponentams bei posistemiams.
Išteklių planavimas

Remiantis atlikta analize, paskirstomi ištekliai (laikinieji, žmogiškieji, techninėmis priemonėmis ir tt), reikalingos užduotims atlikti. Į laiko sąmatą įtraukiamas ne tik laikas, reikalingas pavestoms užduotims išspręsti, bet ir laikas, susijęs su organizacinių klausimų sprendimu, kai skiriami atitinkami ištekliai. Ištekliai paskirstomi atsižvelgiant į galimas neplanuotas situacijas, kurios gali turėti įtakos žmogiškųjų ir kitų išteklių prieinamumui.
Sertifikavimo plano dokumentacija

Remiantis atlikta analize, parengiamas ir patvirtinamas sertifikavimo planas, kurį paprastai sudaro šie skyriai:
Santrauka. Apima viską reikalinga informacija darbo tvarka.
Įvadas. Aprašoma AS struktūra ir apklausos ribos, apdorojamos informacijos ir kitų išteklių kritiškumo lygis, sistemos sprendžiamų užduočių grupės bei saugumo politikos keliami apribojimai, bendras darbų grafikas, taip pat PS saugumo lygio vertinimo kriterijai, įskaitant norminių dokumentų reikalavimus ir šiai AS būdingus reikalavimus.
Atsakomybės pasiskirstymas. Nustatoma ekspertų grupės ir kitų sertifikavimo procedūros dalyvių organizacinė struktūra ir atsakomybės. Apibrėžiamos techninės priežiūros personalo pareigos palaikyti sertifikavimo procedūrą.
Saugos reikalavimai. Apibrėžiamas saugumo reikalavimų rinkinys, kuris turi būti naudojamas kaip atestacijos kriterijus. Be esamos reguliavimo sistemos, paprastai yra papildomų reikalavimų, kuriuos nustato vartotojai ir organizacijos saugos politika, būdingi tiriamai AS. Universalus būdas nustatyti esamas grėsmes atitinkančius saugumo reikalavimus yra rizikos analizė.
Vertinimo metodas. Šiame skyriuje pateikiamos pagrindinės analizės ir, jei reikia, išsamios analizės atlikimo užduotys. Vykdomas darbų paskirstymas tarp atestavimo procedūros dalyvių. Užduočių sudėtis labai priklauso nuo to, ar AE yra kūrimo ar eksploatavimo stadijoje. Aptariami šie klausimai: ypatingo dėmesio sritys, detalumo lygiai, konkrečios užduotys ir naudojami bandymo metodai, informacijos šaltiniai.
Darbų planas-grafikas. Nustato tarpinių ataskaitų dokumentų ir pradinių duomenų rengimo laiką, susirinkimų laiką ir darbų etapų užbaigimo terminus. Tarpinių ataskaitų pateikimo laikas nustatomas pagal laiko sąmatą, sudarytą išteklių planavimo etape.
Palaikymas. Išvardija administracinio ir techninio aptarnavimo sertifikavimo procedūros tipams reikalavimus aptarnaujančiam personalui ir organizacijos vadovybei.
Buhalteriniai dokumentai. Pagrindiniai ataskaitiniai dokumentai yra informacinio objekto išankstinio tyrimo rezultatų ataskaita, atestavimo testų atlikimo programa ir metodika, bandymo ataskaita ir išvada apie bandymo rezultatus.
Programos. Prieduose pateikiama sertifikavimo testų rezultatų ataskaitos struktūra, informacija apie metodus ir priemones, kurie buvo naudojami atliekant testavimą ir analizę, arba pateikiamos nuorodos į tokios informacijos šaltinius.

Skirtumai tarp AE plėtros ir eksploatacijos stadijoje atliekamų sertifikavimo procedūrų išryškėja svarstant atskirų užduočių įgyvendinimo detales. Pavyzdžiui, testuojant saugumo mechanizmus, kūrimo stadijoje atliktas patvirtinimas turi tik bandomuosius duomenis, o eksploatavimo etape taip pat pasiekiami audito ir saugumo stebėjimo duomenys.
Informacijos rinkimas

Didelė dalis su vertinimu susijusio darbo (įskaitant planavimo etapą) yra informacijos rinkimas. Apsvarstykite tris pagrindinius informacijos rinkimo būdus:
Informacijos gavimas iš aptarnaujančio personalo ir AS kūrėjų.
Studijuoja dokumentaciją.
Apklausų vykdymas.

Atliekant sertifikavimą, daugiausiai laiko skiriama AS charakteristikų studijoms. Tiriant AS, nagrinėjami du pagrindiniai klausimai: (1) AS veikimo tikslas ir principai, (2) AS saugumo lygis (saugumo grėsmės, ištekliai, apsaugos mechanizmai, pažeidžiamumas). Abi šias problemas galima išspręsti išnagrinėjus dokumentaciją ir atliekant vartotojų bei AS kūrėjų apklausas. Tačiau šie informacijos rinkimo būdai reikalauja daug laiko.

Idealiu atveju geriausias informacijos apie informatizacijos objektą šaltinis yra projektinė, darbinė ir eksploatacinė dokumentacija. Deja, dokumentacijos kokybė dažnai būna prasta, o kartais jos tiesiog trūksta. Kita vertus, ten, kur jis yra, jo apimtis gali siekti šimtus ir tūkstančius puslapių spausdinto teksto. Dokumentuose taip pat gali būti pasenusios informacijos. Apsaugos mechanizmai dokumentacijoje dažnai nėra atskirti nuo kitų mechanizmų arba apskritai neaprašomi. Todėl esamą dokumentaciją dažnai sunku ištirti ir joje nėra pakankamai pradinių duomenų sertifikavimui.

Apklausų atlikimo būdas taip pat nėra be trūkumų. Vienas iš pagrindinių šio metodo trūkumų yra tai, kad reikiamos informacijos gavimas užima daug laiko. Įprasta apklausa reikalauja bent vienos žmogaus darbo dienos, įskaitant pasiruošimo ir dokumentų ruošimo laiką, ir užtrunka tiek interviuotojai, tiek pašnekovai.

Dauguma efektyvus metodas informacijos apie AS rinkimas – tai metodas, kai AS plėtojančios ar eksploatuojančios organizacijos vadovybė iškelia užduotį jos kūrėjams arba techninės priežiūros personalui šią informaciją parengti ir pateikti ekspertų grupei.

Sertifikavimo bandymams turi būti parengti šie dokumentai:

Dokumentai su saugumo reikalavimais.
Rizikos analizės ataskaita.
Programų informacijos srautų schemos.
2 pav. Informacijos rinkimas sertifikavimui.

Dokumentai su saugos reikalavimais

Saugos reikalavimai yra sertifikavimo kriterijus. Jeigu saugos reikalavimai nebuvo tinkamai suformuluoti, tai tai daroma kvalifikacijos metu. Reikalavimų formulavimas yra AS palaikančių specialistų ir jos sertifikavimą atliekančių ekspertų bendro darbo rezultatas. Sertifikavimą atliekančių ekspertų dalyvavimas būtinas dėl to, kad AS pagalbos specialistai neturi pakankamai žinių informacijos saugumo srityje, ypač susijusių su reguliavimo ir teisinės bazės klausimais. AS pagalbos specialistų dalyvavimas būtinas dėl nepakankamo AS veiklos ypatybių sertifikavimą atliekančių ekspertų supratimo bei vartotojų reikalavimų.

Įprastą rekomendacinių dokumentų rinkinį, naudojamą sertifikuojant atomines elektrines mūsų šalyje, sudaro šie dokumentai, bet jais neapsiribojant:
Rusijos Federacijos 1995 m. vasario 20 d. įstatymas Nr. 24-F3 „Dėl informacijos, informatizacijos ir informacijos apsaugos“;
1996 m. liepos 4 d. Rusijos Federacijos įstatymas Nr. 85-F3 „Dėl dalyvavimo tarptautiniuose informacijos mainuose“;
1997 m. kovo 6 d. Rusijos Federacijos prezidento dekretas Nr. 188 „Dėl konfidencialios informacijos sąrašo patvirtinimo“;
„Automatizuotos sistemos. Apsauga nuo neteisėtos prieigos prie informacijos. AS klasifikacija ir informacijos saugumo reikalavimai“, Rusijos valstybinė techninė komisija, 1997 m.;
„Kompiuterinės technikos priemonės. Apsauga nuo neteisėtos prieigos prie informacijos. Apsaugos nuo neteisėtos prieigos prie informacijos rodikliai“, Rusijos valstybinė techninė komisija, 1992 m.

Iš išvardytų norminių dokumentų sertifikavimui ypač svarbūs paskutiniai du.

Rusijos Federacijos valstybinės techninės komisijos vadovaujamasis dokumentas (RD) „SVT. Apsauga nuo neteisėtos prieigos prie informacijos. Apsaugos nuo neteisėtos prieigos prie informacijos rodikliai“ nustato CVT klasifikaciją pagal apsaugos nuo neteisėtos prieigos prie informacijos lygį, remiantis saugos rodiklių sąrašu ir juos apibūdinančių reikalavimų rinkiniu. Nustatytos septynios CVT saugumo klasės nuo UA iki informacijos. Žemiausia klasė – septinta, aukščiausia – pirmoji. Klasės skirstomos į keturias grupes, kurios skiriasi saugumo lygiu:
pirmoje grupėje yra tik viena septinta klasė;
antrajai grupei būdinga diskrecinė apsauga, joje yra šeštoji ir penktoji klasės;
trečiajai grupei būdinga privaloma apsauga ir yra ketvirtos, trečios ir antrosios klasės;
ketvirtajai grupei būdinga patikrinta apsauga ir yra tik pirmoji klasė.

Rusijos Federacijos valstybinės techninės komisijos RD „AS. Apsauga nuo neteisėtos prieigos prie informacijos. AS klasifikavimo ir informacijos apsaugos reikalavimai“ nustato AS klasifikaciją, kuri turi būti apsaugota nuo neteisėtos prieigos prie informacijos, ir informacijos apsaugos reikalavimus įvairių klasių AS. Apibrėžiamos savybės, pagal kurias AS sugrupuojamas į skirtingas klases:
įvairių konfidencialumo lygių informacijos buvimas AS;
AS prieigos subjektų įgaliojimų pasiekti konfidencialią informaciją lygis;
duomenų apdorojimo režimas AS – kolektyvinis arba individualus.

Nustatytos devynios AS saugumo klasės nuo NSD iki informacijos. Kiekvienai klasei būdingi tam tikri minimalūs apsaugos reikalavimai. Klasės skirstomos į tris grupes, kurios skiriasi informacijos apdorojimo AS ypatybėmis. Kiekvienoje grupėje laikomasi apsaugos reikalavimų hierarchijos, kuri priklauso nuo informacijos vertės ir konfidencialumo, taigi ir AS saugumo klasių hierarchijos.

Be to, atsižvelgiant į AE pobūdį, gali būti naudojami kiti Rusijos Federacijos valstybinės techninės komisijos reglamentuojantys dokumentai, kuriuose pateikiami reikalavimai konkrečioms SVT klasėms, kurios yra AE dalis.
Rizikos analizės ataskaita

Rizikos analizė informaciniame objekte atliekama siekiant pagrįsti AE keliamus saugumo reikalavimus, išsiaiškinti šių reikalavimų sudėtį ir sukurti atsakomųjų priemonių sistemą, reikalingą sėkmingai atremti šioje aplinkoje egzistuojančias grėsmes saugumui. Rizikos analizės ataskaitoje pateikiamas AE išteklių aprašymas, jų kritiškumo įvertinimas, esamų grėsmių ir pažeidžiamumo aprašymas, su grėsmių įgyvendinimu susijusios žalos įvertinimas, rizikos vertinimas. Rizikos vertinimą lemia grėsmės tikimybė, pažeidžiamumo dydis ir galimos žalos organizacijai dydis sėkmingai įgyvendinus grėsmę. Norint atlikti rizikos analizę, būtinas aktyvus specialistų, atsakingų už gamyklos eksploatavimą, dalyvavimas.
Programos informacijos srauto diagramos

Programų informacijos srautų diagramos apibūdina programų, veikiančių AS, įvesties, išvesties ir vidinius informacijos srautus. Informacijos srautų schemos būtinos norint suprasti AS veikimo principus. Šis dokumentas rengiamas dalyvaujant specialistams, atsakingiems už AS palaikymą.
AS apsaugos mechanizmų aprašymas

Apsaugos mechanizmai apima bet kokį apsaugos priemonių įgyvendinimą, įskaitant organizacinius, fizinius ir programinės bei techninės įrangos lygius, taip pat bet kokius veiksmus ir procedūras, kurie sumažina AS saugumo pažeidimo tikimybę.

Dokumentai su AE saugumo mechanizmų aprašymu, gauti iš kūrėjų ar AE techninės priežiūros personalo, turėtų būti paremti išstudijavus dokumentaciją ir atliekant apklausas.
Pagrindinė analizė

Atestacija gali būti atliekama dviem detalumo lygiais: pagrindinė analizė ir išsami analizė. Pagrindinis skirtumas tarp pagrindinės ir išsamios analizės yra tas, kad pagrindinė analizė daugiausia orientuota į bendrą SS saugumo funkcionalumą, o ne į atskirų apsaugos mechanizmų ypatybes. Pavyzdžiui, pagrindinė analizė nustato, ar prieigos kontrolės pakanka failo ar atskiro įrašo lygiu; ar pakanka autentifikavimą įgyvendinti pagrindinio kompiuterio ar vartotojo lygiu. Atliekant pradinę analizę taip pat patikrinama, ar yra saugumo mechanizmų. Išsamios analizės metu patikrinama, ar apsaugos mechanizmai veikia tinkamai, ar jie atitinka veikimo kriterijus, ar yra pakankamai patikimi ir yra atsparūs klastojimo bandymams.

Pagrindinės analizės metu išsprendžiamos šios pagrindinės užduotys:
Saugos reikalavimų tinkamumo vertinimas.
Apsaugos mechanizmų tinkamumo vertinimas.
Apsaugos mechanizmų egzistavimo tikrinimas.
Apsaugos mechanizmų diegimo metodikos apžvalga.
3 pav. Pagrindinės AS analizės etapai

Saugos reikalavimų tinkamumo vertinimas

Pagrindinis sertifikavimo tikslas – patikrinti, ar AE apsaugos mechanizmai atitinka jiems keliamus reikalavimus. Todėl saugumo reikalavimai turi būti aiškiai apibrėžti ir turi atitikti esamą riziką. Daugeliui atominių elektrinių nėra aiškiai apibrėžto tinkamų saugos reikalavimų rinkinio.

Pradinės analizės fazėje turi būti kritiškai išnagrinėti esami saugumo reikalavimai, siekiant nustatyti jų tinkamumą patvirtinimo tikslams ir vartotojų lūkesčius, organizacijos saugumo politiką ir teisines bei reguliavimo sistemas. Daugumą reikalavimų galima rasti įgaliojimai sukurti AS.

Jei saugumo reikalavimai anksčiau nebuvo apibrėžti ir dokumentuoti, juos reikia suformuluoti ir dokumentuoti rizikos analizės procese.

Tiek nustatant, tiek vertinant saugos reikalavimų adekvatumą, atsižvelgiama į dvi reikalavimų klases: bendruosius ir tiriamai AE būdingus reikalavimus. Bendrieji reikalavimai yra suformuluoti remiantis federaliniais įstatymais, valstybinių organų reglamentuojančiais dokumentais, standartais ir organizacijos saugumo politika. Konkretūs reikalavimai suformuluojami rizikos analizės procese.
Rizikos analizės ir valdymo veikla

Rizikos analizė yra ta vieta, kur turėtų prasidėti bet kokios informacijos saugumo sistemos kūrimas. Ji apima AE saugumo tyrimų veiklą, kurios tikslas – nustatyti, kokius išteklius ir nuo kokių grėsmių reikia saugoti, taip pat kiek tam tikrus išteklius reikia apsaugoti. Rizikos valdymo metu nustatomas tinkamų atsakomųjų priemonių rinkinys. Toliau pateikiama rizikos analizės ir valdymo priemonių esmė ir turinys.

Riziką lemia žalos padarymo tikimybė ir AE ištekliams padarytos žalos dydis iškilus grėsmei saugumui.

Rizikos analizė skirta nustatyti esamas rizikas ir įvertinti jų mastą, t.y. kiekybiškai įvertinti. Jį galima suskirstyti į kelis nuoseklius etapus:
Pagrindinių AS išteklių identifikavimas.
Tam tikrų išteklių svarbos nustatymas.
Esamų saugumo grėsmių ir pažeidžiamumų, leidžiančių įgyvendinti grėsmes, nustatymas.
Rizikos, susijusios su saugumo grėsmių įgyvendinimu, skaičiavimas.

AS išteklius galima suskirstyti į tris kategorijas:
Informaciniai ištekliai.
Programinė įranga.
Techninės priemonės.

Kiekvienoje kategorijoje išteklius galima suskirstyti į klases ir poklasius. Būtina identifikuoti tik tuos išteklius, kurie lemia AS funkcionalumą ir yra esminiai saugumo užtikrinimo požiūriu.

Resurso svarbą (arba kainą) lemia konfigūracijos pažeidimo atveju padarytos žalos dydisAtnaujinta: 2015-11-03

Neseniai, skrisdamas į Iževską, naršiau laive gautą žurnalą ir aptikau straipsnį apie asmens duomenis, kuriame buvo tokie teiginiai: „ Labai noriu pranešti komercinių įmonių vadovams, kad informacinių objektų sertifikavimo pagal informacijos saugumo reikalavimus darbai turėjo būti pradėti dar 2006 m., kai buvo pasirašytas federalinis įstatymas.“. Ir tai yra klasikinis klaidingas supratimas, kuris vis dar randamas regionuose ir kartais primestas atskirų reguliavimo institucijų. Kiek tai tiesa? Ar reikalingas sertifikavimas? Informacinės sistemos? Ir apskritai, ar tai įmanoma iš principo?

Pradėkime nuo apibrėžimo. Informatizacijos objekto sertifikavimas pagal informacijos saugos reikalavimus suprantamas kaip organizacinių ir techninių priemonių visuma, dėl kurios specialiu dokumentu - „Atitikties sertifikatu“ patvirtinama, kad objektas atitinka 2008 m. Rusijos FSTEC patvirtintų informacijos apsaugos standartų ar kitų norminių dokumentų reikalavimus. Vienintelis dokumentas, aprašantis šį procesą, yra Valstybinės techninės komisijos (buvęs FSTEC pavadinimas) pirmininko 1994 m. lapkričio 25 d. patvirtintas reglamentas „Dėl informacinių objektų sertifikavimo informacijos saugumo reikalavimams“.

Pirma, paneigkime paskutinę mito apie privalomą sertifikavimą dalį. Iš tiesų, pirmojoje FSTEC dokumentų dėl asmens duomenų apsaugos versijoje buvo frazė apie privalomą 1 ir 2 klasių ISPD sertifikavimą, taip pat platinamus 3 klasės ISPD. Tačiau 2008 metų vasarį išduoti FSTEC dokumentai nebegalioja – FSTEC valdybos sprendimu jie buvo panaikinti šių 2010 metų kovo mėnesį. Vieninteliame šiuo metu galiojančiame teisės akte dėl asmens duomenų apsaugos (o tai yra FSTEC įsakymas Nr. 58) atestavimo reikalavimo nėra. Papildomai pažymėtina, kad pagal jau minėtą sertifikavimo nuostatą " Informatizacijos objektai, skirti tvarkyti valstybės paslaptį sudarančią informaciją, tvarkyti aplinkai pavojingus objektus, vesti slaptas derybas, privalomai sertifikuojami.“. Be to, nuostatoje nurodyta, kad „ kitais atvejais sertifikavimas yra savanoriškas(savanoriškas sertifikavimas) ir gali būti vykdomas užsakovo arba informatizacijos objekto savininko iniciatyva.“. Pati FSTEC savo norminiuose dokumentuose aiškiai ir aiškiai atsako į komercinių įmonių informacinių sistemų privalomo sertifikavimo klausimą.

Dabar prisiminkime antrąją mito dalį ir pažiūrėkime, kaip apskritai įmanomas šiuolaikinės informacinės sistemos patvirtinimas. Pirmiausia tai nėra tik programinės ir aparatinės įrangos įrankių rinkinys, apdorojantis informaciją, kuri turi būti sertifikuojama. Informacinis objektas yra sertifikuotas, kuris pagal GOST R 51275-2006 apibrėžiamas kaip " informacijos išteklių, įrankių ir informacijos apdorojimo sistemų rinkinys, naudojamas pagal duotą Informacinės technologijos, informatizacijos objekto suteikimo priemones, patalpas ar objektus (pastatus, statinius, technines priemones), kuriuose jie įrengti, arba patalpas ir objektus, skirtus vesti konfidencialioms deryboms.“. Kitaip tariant, saugumo reikalavimų laikymasis tikrinamas ne tik konkrečiai informacinei sistemai, bet ir patalpoms, kuriose veikia ši IS.

Viskas būtų gerai, o atitikties įvertinimas sertifikavimo forma nesukeltų tokių karštų diskusijų, jei ne tokia FSTEC reglamento dėl sertifikavimo pastraipa: „ Atitikties sertifikatą sertifikuoto informacinio objekto savininkui išduoda atestavimo įstaiga laikotarpiui, per kurį nekintamumas informatizacijos objekto funkcionavimo sąlygos“. Ar šiuolaikinėmis sąlygomis įmanoma užtikrinti informatizacijos objekto nekintamumą?

Nekintamumas reiškia, kad negalite nukrypti nuo pradinių duomenų, nurodytų sertifikuoto informacinio objekto pase. Informacinėje sistemoje negalite įdiegti naujos programinės įrangos; negalite atnaujinti programinės įrangos, kad ištaisytumėte pažeidžiamumą; negalite pakeisti sugedusios aparatūros dalies; negalite pakeisti programinės įrangos nustatymų... Ar įmanoma įvykdyti šią sąlygą šiuolaikiniame tinkle? Zinoma kad ne. Senais laikais, kai kompiuteriai buvo prabanga, atestacija buvo taikoma įstaigoms, tvarkančioms valstybės paslaptis. Tokie objektai nesikeitė jau daugelį metų, todėl jiems nereikėjo pakartotinio sertifikavimo.

Šiandien, kai šiuolaikinės IS komponentų skaičius siekia dešimtis, nepraeina diena, kad IT skyrius negautų naujų pataisų ir atnaujinimų, kurie pašalintų aptiktas klaidas ir pažeidžiamumus. Tačiau " pasikeitus saugomos informacijos apdorojimo sąlygoms ir technologijai, sertifikuotų objektų savininkai privalo informuoti sertifikavimo įstaigą, kuri sprendžia dėl papildomo informatizacijos objekto apsaugos sistemos veiksmingumo patikrinimo reikalingumo.“. Ir bet koks pakartotinis sertifikavimas yra pinigai ir laikas. Ar esate pasirengęs pakartotinai sertifikuoti savo sistemą kas šešis mėnesius (dažniau sertifikavimo įstaiga nesutiks), tam išleisdami daug pinigų (pakartotinio sertifikavimo kaina gali siekti 30-50% pradinės kainos, kuri yra maždaug lygus 20-30 tūkstančių rublių vienam kompiuteriui)? Dėl to prieini prie paradokso. Arba turėti galiojantį pasą ir nesugebėti atnaujinti informacinės sistemos, palikdama ją pažeidžiamoje būsenoje. Arba padidinkite IP saugumo lygį, prarasdami sertifikatą. Dauguma komercinių organizacijų pasirinks antrąjį variantą. Tada kam mums reikia sertifikavimo tokia forma, kokia ji priimta Rusijoje?

Bet net nepradėjau kalbėti apie tai, kad sertifikuoti objektus naudojant belaides technologijas, išmaniuosius telefonus ar kitus mobiliuosius įrenginius apskritai neįmanoma, nes. tai prieštarauja reguliuotojų nustatytai kontroliuojamos zonos paradigmai. Įsivaizduokite banko produkto pardavimo vietą prekybos centras. Apie jokią kontroliuojamą zoną tokioje situacijoje negali būti nė kalbos, todėl tokio objekto sertifikuoti iš principo negalima.

Ar tai reiškia, kad niekam nereikia sertifikato? Zinoma kad ne. Valstybinėms įstaigoms ir valstybės paslaptis tvarkančioms įmonėms tai yra vienintelė atitikties vertinimo procedūra reguliavimo reikalavimus. Tokio įvertinimo reikia ir komercinei įmonei. Tik jo turinys turėtų skirtis. Pavyzdžiui, išorinio audito arba savęs vertinimo forma pagal Rusijos banko standartus (STO BR IBBS-1.2 arba RS BR IBBS-2.1).

Šiuolaikinėmis sąlygomis perspektyviausias būdas patikrinti pasiektą automatizuotų sistemų (AS) funkcionavimo kokybę ir saugumo lygį yra sertifikavimo procedūra. Nors daugelio komercinių atominių elektrinių sertifikavimas yra savanoriškas, yra gana didelė atominių elektrinių kategorija, kurioms pagal galiojančius teisės aktus sertifikavimas yra būtina sąlyga norint pradėti arba tęsti veiklą. Tai yra AS, skirtos valstybės paslaptį sudarančios informacijos apdorojimui, aplinkai pavojingų objektų valdymui ir slaptoms deryboms.

Aleksandras Astachovas, CISA,2000

Įvadas

Jungtinėse Valstijose devintojo dešimtmečio pradžioje buvo sudarytas rekomendacinių dokumentų rinkinys sertifikavimo srityje. Šių dokumentų tyrimas ir pritaikymas Rusijos sąlygoms gali žymiai pagreitinti vidaus reguliavimo sistemos kūrimo procesą. JAV federalinėms institucijoms pagrindinis dokumentas atestavimo srityje yra AS saugos atestavimo ir akreditavimo gairės (FIPS PUB 102).

Šis darbas yra bandymas panaudoti vidaus patirtį ir Amerikos reguliavimo sistemą, kuriant bendrą atominių elektrinių sertifikavimo vadovą informacijos saugumo reikalavimams.

Naudojama terminija

AE atestavimo sistema yra neatskiriama Vieningos informacijos saugos priemonių sertifikavimo (ISI) ir informacinių objektų sertifikavimo pagal informacijos saugumo reikalavimus sistemos dalis, kurios organizavimą vykdo Valstybinė techninė komisija prie Rusijos Federacijos prezidento. Federacija. Pagal mūsų šalyje priimtą informacijos apsaugos nuo neteisėtos prieigos (UAS) koncepciją, šios problemos sprendimui yra dvi gana nepriklausomos kryptys: kryptis, susijusi su kompiuterinėmis technologijomis (CVT) ir kryptis, susijusi su AS. Skirtumas tarp šių sričių slypi tuo, kad svarstant SVT apsaugos klausimus apsiribojama tik programiniais ir aparatiniais sistemos veikimo aspektais, o AS apsauga apima organizacinių apsaugos priemonių svarstymą, fizinės prieigos, informacijos apsaugos nuo nutekėjimo techniniais kanalais klausimai ir kt. SVT yra programinės ir techninės įrangos įrankiai, sukurti ir tiekiami rinkai kaip elementai, iš kurių kuriama AS. Be informacijos saugos sistemų rinkinio, AS apima aptarnaujantį personalą ir jos veiklą užtikrinančią organizacinių priemonių sistemą, taip pat patalpas, informaciją vartotojui, popierinę dokumentaciją ir kt. Dviejų sąlyginai skirtingų informacijos apsaugos sričių buvimas yra mūsų šalyje vartojamos ir kitose šalyse priimtos terminijos skirtumo priežastis. Sąvoka „sertifikavimas pagal saugos reikalavimus“ Rusijoje vartojama kalbant apie CVT, o tas pats procesas, susijęs su AS, vadinamas atestavimu. Jungtinėse Valstijose abiem atvejais vartojama „sertifikavimo“ sąvoka.

Remiantis Amerikos gairėmis, saugumo reikalavimų sertifikavimas – tai organizacinių ir techninių priemonių visuma, kurią atlieka nepriklausomi ekspertai, siekiant patikrinti AS ar CVT įdiegtų saugumo mechanizmų atitiktį tam tikram reikalavimų rinkiniui. Saugumo reikalavimai naudojami kaip AS arba CVT saugumo lygio vertinimo kriterijus. Jie gali būti suformuluoti vyriausybinių įstaigų valdymo dokumentuose, padaliniuose ir tarpžinybiniuose įsakymuose, nacionaliniuose ir tarptautiniuose standartuose, standartizuotuose apsaugos profiliuose ar saugos užduotyse, taip pat konkrečios organizacijos ar AS naudotojų reikalavimų forma.

Pastaba: aiškumo dėlei likusioje šio straipsnio dalyje, kalbant apie AS, bus vartojamas mūsų šalyje priimtas terminas – sertifikavimas.

Amerikos norminiuose dokumentuose terminas „sertifikavimas“ vartojamas kalbant apie programinę įrangą, aparatinės įrangos komponentus, taikomąsias programas, sistemas, terminalus, tinklus ir kitus objektus. Sertifikuojamo daikto pobūdis turi minimalios įtakos bendram sertifikavimo procesui, nors turi didelę įtaką individualaus darbo detalėms.

Kritinės SS yra SS, kurioms reikalingas tam tikras saugumas, nes jos apdoroja neskelbtinus duomenis arba dėl jų netinkamo veikimo ar piktavališko manipuliavimo kyla žalos rizika.

Visi garsiakalbiai turi tam tikrą kritiškumo laipsnį. Svarbus klausimas yra susitarimo, pagal kurį AS turi būti sertifikuota, buvimas. Pageidautina turėti prioritetinį tokių AS sąrašą.

Sertifikavimo procedūros aprašymas

Planavimas

Iniciacija.
Analizė.
Išteklių planavimas.
Sertifikavimo plano dokumentacija.

Iniciacija

Inicijavimo etape nustatoma bendra sertifikavimo schema ir derinama su darbo užsakovu. Schema apibrėžia bendra tvarka darbų atlikimas ir būtinų išteklių sąnaudos. Svarstomi šie klausimai:

Informatizacijos objekto paskirtis, atliekamos funkcijos ir struktūra; AS ir joje apdorojamos informacijos kritiškumas; apklausos ribos; kliūtis ir problemines sritis; apsaugos priemonių komplekso sudėtis ir struktūra; įvairaus techninio profilio specialistų įtraukimas darbams atlikti.
Darbo laiko sąnaudų ir išteklių sąnaudų įvertinimas; ankstesnės rizikos analizės ir saugumo audito rezultatų, kuriais būtų galima nustatyti sertifikavimo darbų sudėtingumą ir apimtį, prieinamumą.
Ekspertų grupės sudėtis; pareigų paskirstymas tarp specialistų.
Veiksniai, turintys įtakos sertifikavimo testų kokybei ir gyliui.
Konkrečių reikalavimų tam tikram objektui buvimas, kurie turėtų būti naudojami kaip sertifikavimo kriterijus, be turimų norminių dokumentų.
Dokumentacijos, naudojamų apsaugos mechanizmų dokumentacijos prieinamumas ir išsamumas.
Organizacijos saugumo politikos prieinamumas ir dokumentavimas.

Priimta sertifikavimo schema sudaroma techninės užduoties ir darbo grafiko forma.

Analizė

Analizė yra pagrindinė planavimo proceso dalis. Analizės metu svarstomi šie klausimai:

Saugos reikalavimai
Pradiniai duomenys
Atestavimo ir darbų paskirstymo ribos
Fokusavimo sritys
Reikalingas detalumo lygis

Saugumo reikalavimų analizė

Pradinių duomenų sudėties analizė

Atestavimo ir darbų paskirstymo ribų nustatymas

Nustačius patvirtinimo apimtį, prielaidos apie veiklos aplinką turėtų būti dokumentuojamos. Pavyzdžiui, jei operacinė sistema nepatenka į tiriamo objekto ribas, tuomet būtina dokumentuoti prielaidą, kad OS užtikrina pakankamą pagrindinį saugumo lygį tokiose srityse kaip proceso izoliavimas, autentifikavimas, autorizavimas, stebėjimas, vientisumo kontrolė, įvykių registravimas ir apskaita ir kt. p. Prielaidos dėl AS aplinkos ir veiklos sąlygų yra nurodytos „Atitikties sertifikate“ ir yra būtina sąlyga, leidžianti AS apdoroti kritinę ar konfidencialią informaciją.

Fokusavimo sritys

Reikalingas detalumo lygis

Daugeliu atvejų, norint gauti adekvačius rezultatus, pakanka atlikti pagrindinę AS saugumo mechanizmų analizę, kuri leidžia nustatyti bendrą jos saugumo lygį ir saugumo reikalavimų atitikimo laipsnį. Pagrindinė analizė apsiriboja funkcinių specifikacijų lygiu ir apima patikrinimą, ar sistemoje yra komponentų, kurie įgyvendina būtinus saugumo reikalavimus.

Yra daug kriterijų, pagal kuriuos nustatomas sertifikavimo detalumo lygis. Daugeliu atvejų pagrindiniai kriterijai yra šie: AS kritiškumas, šaltinio duomenų sudėtis (pavyzdžiui, programų šaltinio kodų prieinamumas) ir saugos mechanizmų išdėstymas (naudojamos įmontuotos arba nustatytos apsaugos priemonės). . Kiti kriterijai gali būti: kliento reikalaujamas detalumo laipsnis, AS dydis ir sudėtingumas, ekspertų patirtis. Aukščiau išvardytų kriterijų pagrindu priimti sprendimai gali būti taikomi tiek visai AE, tiek atskiriems jos komponentams bei posistemiams.

Išteklių planavimas

Atliktos analizės pagrindu yra paskirstomi ištekliai (laikinieji, žmogiškieji, techniniai ir kt.), reikalingi numatytiems uždaviniams įgyvendinti. Į laiko sąmatą įtraukiamas ne tik laikas, reikalingas pavestoms užduotims išspręsti, bet ir laikas, susijęs su organizacinių klausimų sprendimu, kai skiriami atitinkami ištekliai. Ištekliai paskirstomi atsižvelgiant į galimas neplanuotas situacijas, kurios gali turėti įtakos žmogiškųjų ir kitų išteklių prieinamumui.

Sertifikavimo plano dokumentacija

Remiantis atlikta analize, parengiamas ir patvirtinamas sertifikavimo planas, kurį paprastai sudaro šie skyriai:

Santrauka. Pateikiama visa reikalinga informacija apie darbų eiliškumą.
Įvadas. Aprašoma AS struktūra ir apklausos ribos, apdorojamos informacijos ir kitų išteklių kritiškumo lygis, sistemos sprendžiamų užduočių grupės bei saugumo politikos keliami apribojimai, bendras darbų grafikas, taip pat PS saugumo lygio vertinimo kriterijai, įskaitant norminių dokumentų reikalavimus ir šiai AS būdingus reikalavimus.
Atsakomybės pasiskirstymas. Nustatoma ekspertų grupės ir kitų sertifikavimo procedūros dalyvių organizacinė struktūra ir atsakomybės. Apibrėžiamos techninės priežiūros personalo pareigos palaikyti sertifikavimo procedūrą.
Saugos reikalavimai. Apibrėžiamas saugumo reikalavimų rinkinys, kuris turi būti naudojamas kaip atestacijos kriterijus. Be esamos reguliavimo sistemos, paprastai yra papildomų reikalavimų, kuriuos nustato vartotojai ir organizacijos saugos politika, būdingi tiriamai AS. Universalus būdas nustatyti esamas grėsmes atitinkančius saugumo reikalavimus yra rizikos analizė.
Vertinimo metodas. Šiame skyriuje pateikiamos pagrindinės analizės ir, jei reikia, išsamios analizės atlikimo užduotys. Vykdomas darbų paskirstymas tarp atestavimo procedūros dalyvių. Užduočių sudėtis labai priklauso nuo to, ar AE yra kūrimo ar eksploatavimo stadijoje. Aptariami šie klausimai: ypatingo dėmesio sritys, detalumo lygiai, konkrečios užduotys ir naudojami bandymo metodai, informacijos šaltiniai.
Darbų planas-grafikas. Nustato tarpinių ataskaitų dokumentų ir pradinių duomenų rengimo laiką, susirinkimų laiką ir darbų etapų užbaigimo terminus. Tarpinių ataskaitų pateikimo laikas nustatomas pagal laiko sąmatą, sudarytą išteklių planavimo etape.
Palaikymas. Išvardija administracinio ir techninio aptarnavimo sertifikavimo procedūros tipams reikalavimus aptarnaujančiam personalui ir organizacijos vadovybei.
Buhalteriniai dokumentai. Pagrindiniai ataskaitiniai dokumentai yra informacinio objekto preliminarios ekspertizės rezultatų ataskaita, atestavimo testų atlikimo programa ir metodika, bandymo ataskaita ir išvada apie bandymo rezultatus.
Programos. Prieduose pateikiama sertifikavimo testų rezultatų ataskaitos struktūra, informacija apie metodus ir priemones, kurie buvo naudojami atliekant testavimą ir analizę, arba pateikiamos nuorodos į tokios informacijos šaltinius.

Informacijos rinkimas

Didelė dalis su vertinimu susijusio darbo (įskaitant planavimo etapą) yra informacijos rinkimas. Apsvarstykite tris pagrindinius informacijos rinkimo būdus:

Informacijos gavimas iš aptarnaujančio personalo ir AS kūrėjų
Studijuoja dokumentaciją
Apklausų vykdymas

Veiksmingiausias informacijos apie AE rinkimo būdas yra toks, kai AE kuriančios ar eksploatuojančios organizacijos vadovybė iškelia užduotį jos kūrėjams ar techninės priežiūros personalui šią informaciją parengti ir pateikti ekspertų grupei.

Sertifikavimo bandymams turi būti parengti šie dokumentai:

Dokumentai su saugos reikalavimais

Saugos reikalavimai yra sertifikavimo kriterijus. Jeigu saugos reikalavimai nebuvo tinkamai suformuluoti, tai tai daroma kvalifikacijos metu. Reikalavimų formulavimas yra AS palaikančių specialistų ir jos sertifikavimą atliekančių ekspertų bendro darbo rezultatas. Sertifikavimą atliekančių ekspertų dalyvavimas būtinas dėl to, kad AS pagalbos specialistai neturi pakankamai žinių informacijos saugumo srityje, ypač susijusių su reguliavimo ir teisinės bazės klausimais. AS pagalbos specialistų dalyvavimas būtinas dėl ekspertų, vykdančių AS veiklos ypatybių sertifikavimą, nesupratimo bei vartotojų reikalavimų.

Įprastą rekomendacinių dokumentų rinkinį, naudojamą sertifikuojant atomines elektrines mūsų šalyje, sudaro šie dokumentai, bet jais neapsiribojant:

Rusijos Federacijos 1995 m. vasario 20 d. įstatymas Nr. 24-F3 „Dėl informacijos, informatizacijos ir informacijos apsaugos“;
1996 m. liepos 4 d. Rusijos Federacijos įstatymas Nr. 85-F3 „Dėl dalyvavimo tarptautiniuose informacijos mainuose“;
1997 m. kovo 6 d. Rusijos Federacijos prezidento dekretas Nr. 188 „Dėl konfidencialios informacijos sąrašo patvirtinimo“;
„Automatizuotos sistemos. Apsauga nuo neteisėtos prieigos prie informacijos. AS klasifikacija ir informacijos saugumo reikalavimai“, Rusijos valstybinė techninė komisija, 1997 m.;
„Kompiuterinės technikos priemonės. Apsauga nuo neteisėtos prieigos prie informacijos. Apsaugos nuo neteisėtos prieigos prie informacijos rodikliai“, Rusijos valstybinė techninė komisija, 1992 m.

Iš išvardytų norminių dokumentų sertifikavimui ypač svarbūs paskutiniai du.

pirmoje grupėje yra tik viena septinta klasė;
antrajai grupei būdinga diskrecinė apsauga, joje yra šeštoji ir penktoji klasės;
trečiajai grupei būdinga privaloma apsauga ir yra ketvirtos, trečios ir antrosios klasės;
ketvirtajai grupei būdinga patikrinta apsauga ir yra tik pirmoji klasė.

įvairių konfidencialumo lygių informacijos buvimas AS;
AS prieigos subjektų įgaliojimų pasiekti konfidencialią informaciją lygis;
duomenų apdorojimo režimas AS – kolektyvinis arba individualus.

Rizikos analizės ataskaita

Programos informacijos srauto diagramos

AS apsaugos mechanizmų aprašymas

Dokumentai su AE saugumo mechanizmų aprašymu, gauti iš AE vystytojų ar techninės priežiūros personalo, turėtų būti paremti išstudijavus dokumentaciją ir atliekant apklausas.

Pagrindinė analizė

Pagrindinės analizės metu išsprendžiamos šios pagrindinės užduotys:

Saugos reikalavimų tinkamumo vertinimas.
Apsaugos mechanizmų tinkamumo vertinimas.
Apsaugos mechanizmų egzistavimo tikrinimas.
Apsaugos mechanizmų diegimo metodikos apžvalga.

Saugos reikalavimų tinkamumo vertinimas

Pradinės analizės fazėje turi būti kritiškai išnagrinėti esami saugumo reikalavimai, siekiant nustatyti jų tinkamumą patvirtinimo tikslams ir vartotojų lūkesčius, organizacijos saugumo politiką ir teisines bei reguliavimo sistemas. Pagrindinė reikalavimų dalis gali būti įtraukta į AS kūrimo techninę užduotį.

Jei saugumo reikalavimai anksčiau nebuvo apibrėžti ir dokumentuoti, juos reikia suformuluoti ir dokumentuoti rizikos analizės procese.

Tiek nustatant, tiek vertinant saugos reikalavimų adekvatumą, atsižvelgiama į dvi reikalavimų klases: bendruosius ir tiriamai AE būdingus reikalavimus. Bendrieji reikalavimai formuluojami remiantis federaliniais įstatymais, valstybinių organų reglamentuojančiais dokumentais, standartais ir organizacijos saugumo politika. Konkretūs reikalavimai suformuluojami rizikos analizės procese.

Rizikos analizės ir valdymo veikla

Riziką lemia žalos padarymo tikimybė ir AE ištekliams padarytos žalos dydis iškilus grėsmei saugumui.

Rizikos analizė skirta nustatyti esamas rizikas ir įvertinti jų mastą, t.y. kiekybiškai įvertinti. Jį galima suskirstyti į kelis nuoseklius etapus:

Pagrindinių AS išteklių identifikavimas.
Tam tikrų išteklių svarbos nustatymas.
Esamų saugumo grėsmių ir pažeidžiamumų, leidžiančių įgyvendinti grėsmes, nustatymas.
Rizikos, susijusios su saugumo grėsmių įgyvendinimu, skaičiavimas.

AS išteklius galima suskirstyti į tris kategorijas:

Informaciniai ištekliai.
Programinė įranga.
Techninės priemonės.

Kiekvienoje kategorijoje išteklius galima suskirstyti į klases ir poklasius. Būtina identifikuoti tik tuos išteklius, kurie lemia AS funkcionalumą ir yra esminiai saugumo užtikrinimo požiūriu.

Ištekliaus svarba (arba kaina) nustatoma pagal žalos, padarytos pažeidžiant šio resurso konfidencialumą, vientisumą ar prieinamumą, dydį. Vertinant išteklių sąnaudas, kiekvienai išteklių kategorijai nustatomas galimos žalos dydis:

Duomenys buvo atskleisti, pakeisti, ištrinti arba padaryti neprieinami.
Įranga buvo sugadinta arba sunaikinta.
Programinės įrangos vientisumas buvo pažeistas.

Tipiškos grėsmės saugumui apima:

vietinės ir nuotolinės atakos prieš AS išteklius;
stichinės nelaimės;
personalo klaidos;
AU veikimo sutrikimai, atsiradę dėl programinės įrangos ar techninės įrangos gedimų.

Grėsmės lygis reiškia jos įgyvendinimo tikimybę.

Pažeidžiamumo vertinimas apima sėkmingo saugumo grėsmių įgyvendinimo tikimybę. Sėkmingas grėsmės įgyvendinimas reiškia žalą AS ištekliams. AS pažeidžiamumų buvimas atsiranda dėl apsaugos trūkumų.

Taigi žalos padarymo tikimybę lemia grėsmės įgyvendinimo tikimybė ir pažeidžiamumo dydis.

Rizikos dydis nustatomas atsižvelgiant į išteklių kainą, grėsmės lygį ir pažeidžiamumo mastą. Didėjant išteklių kainai, grėsmės lygiui ir pažeidžiamumo dydžiui, didėja ir rizikos mastas. Remiantis rizikos dydžio įvertinimu, nustatomi saugos reikalavimai.

Rizikos valdymo užduotis apima atsakomųjų priemonių, kurios sumažina rizikos dydį iki priimtino lygio, pasirinkimą ir pagrindimą. Rizikos valdymas apima atsakomųjų priemonių įgyvendinimo išlaidų įvertinimą, kurios turėtų būti mažesnės nei galimos žalos dydis. Skirtumas tarp atsakomųjų priemonių įgyvendinimo išlaidų ir galimos žalos dydžio turėtų būti didesnis, tuo mažesnė žalos padarymo tikimybė.

Atsakomosios priemonės gali padėti sumažinti rizikos mastą įvairiais būdais:

sumažinti grėsmių saugumui tikimybę;
pažeidžiamumų pašalinimas arba jų masto sumažinimas;
sumažinti galimos žalos dydį;
atakų ir kitų saugumo pažeidimų aptikimas;
prisidėti prie sugadintų AE išteklių atkūrimo.

Atlikdama rizikos analizę ir valdymą, Jet Infosystems naudoja CRAMM metodiką ir susijusius įrankius. CRAMM metodas (JK vyriausybės rizikos analizės ir valdymo metodas) JK vyriausybės ir komercinėse organizacijose naudojamas nuo 1985 m. Per tą laiką jis įgijo populiarumą visame pasaulyje.

CRAMM apima visos procedūros padalijimą į tris nuoseklius etapus. Pirmojo etapo užduotis – atsakyti į klausimą: „Ar užtenka apsaugoti sistemą naudojant bazinio lygio priemones, diegiančias tradicines apsaugos funkcijas, ar būtina atlikti išsamesnę saugumo analizę?“. Antrame etape nustatomos rizikos ir įvertinamas jų dydis. Trečiajame etape sprendžiamas tinkamų atsakomųjų priemonių pasirinkimo klausimas.

CRAMM metodika kiekvienam etapui apibrėžia pradinių duomenų rinkinį, veiklų seką, anketas apklausoms atlikti, kontrolinius sąrašus ir baigiamųjų dokumentų (ataskaitų) rinkinį.

Vieningi informacinių technologijų saugumo vertinimo kriterijai

Šiuo metu AS sertifikavimas yra pagrįstas Bendraisiais informacinių technologijų saugumo vertinimo kriterijais. „Vieningi kriterijai“ – tai norminis dokumentas, apibrėžiantis saugumo reikalavimus, kuriais remiantis atliekamas IT produktų saugos lygio vertinimas, bendrą sąvokų rinkinį, duomenų struktūras ir kalbą klausimų ir teiginių, susijusių su 2010 m. IT produktų saugumas.

Tarptautinė standartizacijos organizacija (ISO) saugumo vertinimo kriterijus pradėjo kurti 1990 m. Tada Kanados (CTCPEC), Europos (ITSEC) ir Amerikos (FC ir TCSEC) saugumo vertinimo kriterijų autoriai 1993 m. sujungė savo pastangas ir pradėjo plėtoti projektą „Common Criteria“. Projekto tikslas buvo pašalinti konceptualius ir techninius esamų kriterijų skirtumus. 1999 m. gruodžio 1 d. Bendrųjų kriterijų 2.1 versiją ISO priėmė kaip tarptautinį standartą ISO 15408.

Vieningi kriterijai apibrėžia keletą pagrindinių sąvokų, kuriomis grindžiama IT produktų saugumo vertinimo koncepcija. Tarp jų yra apsaugos profilio (PP – apsaugos profilis), saugumo užduočių (ST – saugumo tikslas) ir vertinimo objekto (TOE – vertinimo tikslas) koncepcija. Bet kuris TPM arba AS gali būti vertinimo objektas.

PP yra griežtos struktūros dokumentas, kuriame pateikiami tam tikros klasės programinės ir techninės įrangos saugumo reikalavimai. Be saugumo reikalavimų, PP aprašomos įvairios grėsmės saugumui ir apsaugos tikslai, taip pat pateikiamas saugumo grėsmių, apsaugos tikslų ir saugumo reikalavimų atitikimo pagrindimas.

ST yra labai struktūrizuotas dokumentas, kuris, be saugumo reikalavimų, apibrėžia konkretaus IT produkto saugumo mechanizmų funkcines specifikacijas. ST pateikti saugumo reikalavimai yra apibrėžti atsižvelgiant į atitinkamus saugos profilių ir bendrųjų kriterijų reikalavimus. IT produkto reikalavimai yra suformuluoti atskirai ir taip pat įtraukti į ST. Be to, ST yra saugumo reikalavimų ir TOE funkcinės specifikacijos atitikties pagrindimas.

Vieninguose kriterijais pateikiamos dvi saugumo reikalavimų kategorijos: funkciniai reikalavimai ir apsaugos mechanizmų tinkamumo (užtikrinimo) reikalavimai. Funkciniai reikalavimai apibrėžia TOE funkcijų rinkinį, užtikrinantį jo saugumą. Tinkamumas yra TOE savybė, suteikianti tam tikrą pasitikėjimo laipsnį, kad TOE apsaugos mechanizmai yra pakankamai veiksmingi ir tinkamai įgyvendinti. Išvados apie TOE tinkamumą daromos remiantis žiniomis apie TOE specifikaciją, įgyvendinimą ir veikimą. Funkciniams reikalavimams ir tinkamumo reikalavimams išreikšti „Vieninguose kriterijais“ naudojama viena terminija ir stilius.

Sertifikavimas yra sudėtingas, ilgas ir daug išteklių reikalaujantis procesas. Dėl to, kad neįmanoma formaliai patikrinti ar atlikti išsamaus visos AS testavimo, turime kalbėti tik apie tam tikro lygio sertifikavimo testo rezultatų adekvatumo (garantijos) pasiekimą. Vieningi kriterijai pristato vieningą vertinimo adekvatumo lygių skalę (EAL – Evaluation Assurance Level). Kiekvienam EAL yra keliamas tam tikras „Vieningų kriterijų“ tinkamumo reikalavimų rinkinys.

Įvedami septyni vertinimo adekvatumo lygiai: EAL1, EAL2, ..., EAL7. Šie lygiai surūšiuoti didėjančia tvarka. Minimalus tinkamumo lygis – EAL1 (funkcinis testavimas) suteikia minimalų tinkamumo užtikrinimą, atliekant saugos mechanizmo analizę, naudojant funkcijų specifikacijas ir TOE sąsają, o po to nepriklausomas kiekvieno apsaugos mechanizmo juodosios dėžės testavimas. EAL1 sukurta aptikti tik akivaizdžiausias saugumo spragas minimaliomis sąnaudomis. Jis taikomas, kai nėra reikšmingos saugumo rizikos. Maksimalus adekvatumo lygis – EAL7 (oficialus projekto patikrinimas ir testavimas) pasižymi formalių modelio apsaugos priemonių naudojimu, formaliu funkcinių specifikacijų pateikimu, pusiau formaliu žemesnio lygio projekto pateikimu ir formaliu arba pusiau formaliu atitikimo demonstravimu. tarp jų kuriant saugumo priemonių rinkinį. Kartu su analize atliekami nepriklausomi apsaugos mechanizmų bandymai, naudojant „baltos dėžės“ metodą. EAL7 lygis reiškia viršutinę AS įvertinimo tinkamumo lygių ribą, kurią galima realiai pasiekti praktiškai. Jo naudojimas turėtų būti vertinamas tik kaip eksperimentinis paprastos ir labai svarbios AS sertifikavimui.

Pagal „Vieningus kriterijus“ TOE saugumo vertinimo etapai nustatomi remiantis įvairių lygių vaizdavimo abstrakcijos: grėsmės saugumui -> apsaugos užduotys -> saugumo reikalavimai -> specifikacija -> įgyvendinimas.

Yra du pagrindiniai vertinimo etapai:

Pradinių apsaugos profilių įvertinimas.
Vertinimo objekto analizė.

Pradinių apsaugos profilių vertinimas apima saugumo grėsmių, apsaugos užduočių, saugumo reikalavimų analizę ir jų atitikimo nustatymą.

Vertinimo dalyko vertinimas atliekamas dviem etapais: saugos tikslo įvertinimas ir TOE įvertinimas.

Saugumo tikslo vertinimo tikslas – parodyti, kad saugos mechanizmų specifikacija (oficialus, pusiau formalus ar neformalus aprašymas) visiškai atitinka Saugos profilio reikalavimus ir yra tinkamas naudoti kaip TOE vertinimo pagrindas;

TOE vertinimas susideda iš patikrinimo, ar TOE įgyvendinimas atitinka jo specifikaciją, esančią saugos tikslais.

Apsaugos mechanizmų analizė

Apsaugos mechanizmų analizės metodika priklauso nuo to, ar yra tiksliai apibrėžtas saugumo reikalavimų rinkinys, ar dėl vienokių ar kitokių priežasčių jo trūksta.

Kai nustatomi saugumo reikalavimai

Kai saugumo reikalavimai yra apibrėžti ir dokumentuoti, pagrindinė pagrindinės analizės etapo užduotis yra patikrinti AS įdiegtų apsaugos mechanizmų atitiktį šiems reikalavimams. Atliekant AU testavimą, naudojami kontroliniai sąrašai, kuriuose pateikiami, pavyzdžiui, šie klausimai: Ar atsižvelgiama į atskirus vartotojus? Ar subjektai ir objektai buvo identifikuoti ir jiems priskirtos prieigos etiketės? Ar numatytas tik skaitymo duomenų prieigos režimas? Ar visi bandymai pasiekti failus registruojami? Ar yra planų atsigauti ir reaguoti į UA bandymus? ir tt

Saugumo reikalavimus galima suformuluoti naudojant įvairaus laipsnio detalė. Kai kuriais atvejais reikalavimuose nurodomas tik tam tikro saugumo mechanizmo, pvz., nuotolinio vartotojo autentifikavimo, poreikis. Kitais atvejais reikalavimai gali nulemti tam tikros autentifikavimo schemos poreikį. Abiem atvejais tikrinamas tinkamų saugumo mechanizmų buvimas ir jų tinkamumas esamoms grėsmėms.

Kai saugumo reikalavimai nėra apibrėžti

Būna situacijų, kai negalima aiškiai apibrėžti saugumo reikalavimų. Pavyzdžiui, kai reikia apsaugoti įmonės tinklo išteklius nuo tinklo atakų, beveik neįmanoma nustatyti visų galimų atakų, nuo kurių reikia apsisaugoti. Tokiose situacijose patartina naudoti aktyvaus AS apsaugos mechanizmų testavimo metodus. Šie metodai yra pagrįsti kovos su tam tikromis grėsmėmis apsaugos mechanizmų veiksmingumo įvertinimu. Pavyzdžiui, aktyvus prieigos kontrolės mechanizmų testavimas atliekamas bandant įsiskverbti į sistemą (naudojant automatinius įrankius arba rankiniu būdu). Žinomų AS saugumo spragų paieškai naudojami įvairūs automatizuoti saugumo analizės įrankiai, iš kurių dažniausiai naudojami tinklo skaitytuvai.

Šioje situacijoje tinka ir dauguma saugos reikalavimų vertinimo metodų. Tačiau be aiškiai suformuluotų reikalavimų sunku nustatyti apsaugos mechanizmų tinkamumą.

Išsamumo lygis

Svarbus saugumo mechanizmų analizės klausimas yra detalumo lygio pasirinkimas. Apskritai pagrindinė analizė turėtų būti atliekama funkciniu lygmeniu. Funkcinis sluoksnis yra abstrakcijos lygis, atstovaujamas AS funkcijos specifikacijose. Tai taikoma tiek vidaus saugumo mechanizmams, tiek išorinėms (fizinėms ir administracinėms apsaugos priemonėms), nors pastarosios dažniausiai nėra apibrėžtos funkcinėse specifikacijose.

Daugeliui AS funkcinių specifikacijų tiesiog nėra arba jos yra neišsamios. Todėl, norėdami nustatyti atominės elektrinės funkcines specifikacijas, ekspertai turi išstudijuoti jos veikimo principus, projektą ir eksploatacinę dokumentaciją.

Apsaugos mechanizmų egzistavimo tikrinimas

Pagrindinės analizės etape tikrinama, ar yra saugumo mechanizmų, kuriuos reprezentuoja AS funkcinės specifikacijos. Daugumos fizinių ir administracinių apsaugos priemonių buvimo faktą galima nustatyti atlikus paprastą vizualinį patikrinimą ir patikrinus, ar yra tinkamų organizacinių ir administracinių dokumentų. Testavimas reikalingas norint patikrinti, ar yra programinės ar techninės įrangos įdiegtų saugos mechanizmų. Atliekant bandymus, apsauginių mechanizmų veikimo kokybės nustatymo uždavinys nėra keliamas, nes tai nepatenka į pagrindinės analizės sritį. Kita vertus, jei yra rimtų trūkumų, dėl kurių kyla abejonių dėl bendro AE apsaugos priemonių rinkinio efektyvumo, reikėtų atsižvelgti į apsaugos mechanizmų įgyvendinimo kokybę. Paprastai juodosios dėžės testavimo pakanka norint patikrinti, ar yra saugumo mechanizmų.

Apsaugos mechanizmų diegimo metodikos apžvalga

Apsaugos mechanizmų egzistavimo patikrinimas negarantuoja šių mechanizmų veikimo veiksmingumo. Geriausias būdas gauti tam tikras garantijas nesineriant į bandymus ir detalias analizes – pažvelgti į AS kūrimo metodiką. Metodikos svarstymas vykdomas neatsižvelgiant į tai, ar AE yra plėtros ar eksploatavimo stadijoje.

Metodikos peržiūra leidžia spręsti apie saugumo mechanizmų įgyvendinimo patikimumo laipsnį ir AS apsaugos spragų tikimybę. Naudojamų projektavimo ir kūrimo metodų trūkumai lemia AS diegimo klaidas. Jeigu atlikus metodikos analizę nustatoma, kad negalima pasitikėti diegimo kokybe, tuomet, kaip taisyklė, reikia atlikti išsamią analizę, ieškant konkrečių AS diegimo klaidų.

Amerikos šaltiniuose, skirtuose informacijos saugos priemonių kūrimo metodikai, yra daug valstybės standartų, kurie nustato svarbios AS ir programinės įrangos saugumo kūrimo ir analizės tvarką.

Mūsų šalyje Rusijos Federacijos valstybinė techninė komisija priėmė RD „Laikinąjį reglamentą dėl programinės ir techninės įrangos, skirtos apsaugoti informaciją nuo neteisėtos prieigos AS ir SVT, kūrimo, gamybos ir eksploatavimo organizavimo“, kuriame apibrėžiami šie pagrindiniai dalykai. Problemos:

organizacinė struktūra ir darbų, skirtų apsaugoti informaciją nuo neteisėtos prieigos ir sąveikos valstybės lygiu, vykdymo tvarka;
valstybinių reglamentų, standartų, gairių ir reikalavimų šiuo klausimu sistema;
saugių CVT, įskaitant programinės ir techninės įrangos (ypač kriptografines) priemones ir sistemas, skirtas apsaugoti informaciją nuo neteisėtos prieigos, kūrimo ir priėmimo procedūra;
šių įrankių ir sistemų priėmimo prieš pradedant eksploatuoti kaip AE dalis tvarka, jų eksploatavimo tvarka ir šių įrankių ir sistemų veikimo stebėjimas eksploatacijos metu.

Peržiūrint metodiką didesnis dėmesys skiriamas šiems klausimams:

Projektavimo ir eksploatacinės dokumentacijos išsamumas ir kokybė.
Aiškiai apibrėžtų AS projektavimo reikalavimų buvimas.
Naudoti projektų valdymo metodai. Kūrėjai turi AS saugumo mechanizmų analizės ir testavimo metodiką.
AS kūrimo procese naudojami projektavimo metodai. Pagrindinių architektūrinės saugos principų apskaita. Naudojami programavimo standartai ir technologijos.
AS kūrėjų informuotumas informacijos saugumo klausimais. Saugos reikalavimų svarstymas projektavimo ir įgyvendinimo etapuose.

Išsami analizė

Daugeliu atvejų sertifikavimui neužtenka vienos pagrindinės analizės. Pavyzdžiai apima atvejus, kai (1) atliekant pradinę analizę nustatomos problemos, kurias reikia toliau tirti; (2) AS turi aukštą kritiškumo laipsnį; arba (3) pagrindiniai saugumo mechanizmai yra integruoti į vidines funkcijas, kurios nėra matomos funkciniu lygmeniu. Tokiais atvejais reikalinga išsami analizė.

Detali analizė skirta saugumo mechanizmų įgyvendinimo efektyvumui įvertinti. AS tiriamas trimis požiūriais:

Tinkamo apsaugos mechanizmų veikimo įvertinimas.
Veiklos charakteristikų, tokių kaip patikimumas ir našumas, įvertinimas.
Atsparumo bandymams įsilaužti įvertinimas.

Detalioje analizėje naudojami įvairūs metodai, kurių pasirinkimą lemia esamos grėsmės ir jų pasekmės, o ne bendrosios charakteristikos ir AS kritiškumas. Pavyzdžiui, jei pagrindinis tikslas yra užtikrinti jautrios informacijos konfidencialumą, pagrindinis dėmesys skiriamas prieigos prie šios informacijos kontrolei ir jos turinio uždarymui naudojant kriptografines priemones. Organizacijos, teikiančios vartotojams svarbias paslaugas, pirmiausia turėtų sutelkti pastangas į šių paslaugų prieinamumą. Jei pagrindinė programos užduotis yra klientų sąskaitų tvarkymas, ypatingas dėmesys turėtų būti skiriamas duomenų vientisumo kontrolės mechanizmams.

Išsamios analizės metodai

Patikrinkite, ar tinkamai veikia saugos mechanizmai

Tikrinant, ar tinkamai veikia apsaugos mechanizmai, reikia įvertinti, ar apsaugos mechanizmai atlieka jiems priskirtas funkcijas. Dažniausiai šiai problemai spręsti naudojami įvairūs testavimo metodai.

Bandant apsauginius mechanizmus, nagrinėjami šie klausimai:

Apsaugos mechanizmų veikimas.
Patvirtinkite, kad netinkami funkcijų parametrai tvarkomi teisingai.
Išskirtinių situacijų valdymas.
Stebėkite saugos mechanizmus ir registruokite saugos įvykius.
Patikrinkite, ar tinkamai veikia administravimo įrankiai.

AS saugumo mechanizmai turi būti tinkamai apsaugoti tiek nuo vartotojo klaidų, tiek nuo vidinių klaidų. Todėl testuojant ypatingas dėmesys turėtų būti skiriamas sistemos sąsajoms, per kurias gali plisti šios klaidos:

asmuo-asmeniui (operatoriaus pranešimai);
žmogus-sistema (komandos, procedūros);
sistema-sistema (vidinės sistemos funkcijos);
procesas-sistema (sistemos iškvietimai);
procesas-procesas (tarpprocesorinis ryšys).

Čia galima naudoti daugumą žinomų testavimo metodų. Testavimas gali būti išorinis (juodosios dėžės metodas) arba vidinis (baltos dėžutės metodas, atskirų programos modulių ir modulių sąsajų testavimas), priklausomai nuo testuojamos sąsajos tipo. Testavimą gali atlikti recenzentų, kūrėjų, vartotojų arba mišri komanda.

Kai vidinių sąsajų testavimas atliekamas nepriklausomai nuo AS projektuotojo, tai gali būti susiję su tam tikromis techninėmis problemomis. Gali prireikti parašyti fiktyviąsias procedūras (manomą), bandymų duomenų generavimo ir rinkimo įrankius ir daugybę pagalbinės programinės įrangos. Jums gali prireikti programinės įrangos kūrimo įrankių rinkinio, specialiai pritaikyto konkrečiai OS arba konkrečiai AS. Idealus sprendimas yra naudoti priemones, kuriomis AS buvo sukurta iš pradžių.

Be testavimo, yra ir kitų analizės metodų, kurie gali būti naudojami siekiant patikrinti, ar saugos mechanizmai veikia tinkamai.

Formalus patikrinimas gali būti naudojamas kaip vienas iš išsamios analizės metodų. Formalus patikrinimas leidžia matematiškai tiksliai įrodyti AS saugumo funkcijų įdiegimo programavimo kalba atitiktį jos formaliai specifikacijai.

Atrodo labai perspektyvu naudoti automatizuotas sistemas programų teisingumui įrodyti. Iki šiol tokių sistemų jau yra daugiau nei dvidešimt. Kiekviena iš šių sistemų buvo sukurta siekiant patikrinti plačią konkrečios srities programų klasę. Jie yra pagrįsti skirtingu matematiniu aparatu ir skirtingais veikimo principais. Tačiau galima išskirti komponentus, reikalingus bet kuriai tokiai sistemai:

Formali specifikacijų kalba.
Šia kalba aprašomi įvesties ir išvesties duomenys (duomenų struktūros, abstrakčių duomenų tipai).
Programavimo kalba.
Programa parašyta šia kalba. Kad ši programa būtų teisinga, šios kalbos semantika turi būti formaliai apibrėžta.
Analizavimo blokas.
Šio bloko įvestis jau yra anotuota programa, ty programa programavimo kalba kartu su jos specifikacija specifikacijų kalba. Analizavimo blokas atlieka sintaksinį valdymą ir konvertuoja programą į specialią formą, patogią tolesniam apdorojimui.
Teisingumo sąlygų generatorius (teoremų generatorius).
Grąžina teisingumo sąlygų, skirtų tikrinimo bloko įvesties, sąrašą. Įgyvendina sekimo atgal ir pirmyn sekimo algoritmus.
Teoremų įrodinėjimo blokas.
Ar sunkiausia. Jame pateikiamas supaprastintų išvesties analizės bloko įvesties teisingumo sąlygų sąrašas, tarp kurių yra paryškintos patikrintos sąlygos. Įrodinėjimo blokas turi papildomą įvestį, į kurią aksiomų pavidalu pateikiama informacija iš vartotojo.
Išvesties duomenų analizės blokas.
Kartu su vartotoju atlieka teisingumo sąlygų sąrašo analizę. Jei visos sąlygos yra įrodytos, tada įvesties programa yra iš dalies teisinga.

Pavyzdžiui, FDM sistema leidžia vartotojui parašyti formalaus modelio specifikaciją (įskaitant invariantus ir saugumo apribojimus) Ina Jo specifikacijų kalba, o teoremų generatorius automatiškai generuoja teoremas (teisingumo kriterijus), kurios turi būti įrodytos siekiant užtikrinti, kad aukščiausio lygio specifikacija atitinka modelį. Teoremų generatorius taip pat automatiškai generuoja teoremas, kurias reikia įrodyti, siekiant užtikrinti, kad kiekviena žemesnio lygio specifikacija atitiktų aukštesnio lygio specifikaciją.

AFFIRM sistema įrodo Pascal programų, išplėstų abstrakčiais duomenų tipais, teisingumą. Pagrindinis sistemos bruožas yra duomenų bazės ir įrodinėjimo modulio naudojimas lygčių teorijose, pagrįstose Knutho-Bendix algoritmu. Modulis naudojamas lygybėmis aksiomatizuotų abstrakčių duomenų tipų savybėms įrodyti. Duomenų bazė naudojama abstrakčių duomenų tipų, nustatytų naudojant kanonines terminų pakeitimo sistemas, aksiomoms ir savybėms saugoti, taip pat tarpiniams teiginiams, atsirandantiems teisingumo sąlygų įrodinėjimo procese, saugoti. AFFIRM sistemoje taip pat yra teoremų įrodinėjimo modulis dialogo su vartotoju procese, kuris pasirenka įrodinėjimo strategiją. Šis modulis yra pagrįstas universaliu teoremų įrodinėjimo metodu (natūralios išvados metodas, įskaitant indukcijos taisyklę) ir darbo metu naudoja informaciją iš duomenų bazės. Ciklo invariantų sintezės užduotis šioje sistemoje priskirta vartotojui.

Yra sėkmingų automatizuotų sistemų panaudojimo pavyzdžių, įrodančių apsaugos mechanizmų tikrinimo programų teisingumą. Pavyzdžiui, saugiame projekte Operacinė sistema UNIX, įdiegtas Kalifornijos universitete, Los Andžele (UCLA), buvo naudojami formalūs specifikacijos ir tikrinimo metodai, siekiant išbandyti duomenų apsaugos mechanizmus nuo neteisėtos prieigos. Šiame projekte programos kodo teisingumui įrodyti buvo naudojamas AFFIRM sistemos Pascal kalbos teisingumo sąlygų generatorius. Projektinio lygio teisingumo sąlygų įrodymai buvo atlikti rankiniu būdu, tačiau daliai šių įrodymų tikrinti buvo naudojama AFFIRM sistema.

Oficialūs metodai dėl savo kruopštumo, didelių sąnaudų ir nepakankamų žinių dar nėra plačiai paplitę. Tačiau jie naudojami kuriant ir tikrinant ginklų valdymo mechanizmus, erdvėlaivius ir kitas didelės rizikos atomines elektrines. Šie metodai ateityje vaidins svarbesnį vaidmenį sertifikuojant.

Veiklos vertinimas

Apsaugos mechanizmų efektyvumą lemia ne tik jų veikimo teisingumas. Daugelį veiklos rodiklių galima priskirti bendrajai kategorijai, vadinamai „našumas“, kuri yra antroji išsamios analizės sritis. Našumo rodikliai apima: patikimumą, atsparumą gedimams, atkuriamumą, reakcijos laiką ir našumą. Jie taikomi tiek atskiriems mechanizmams, tiek visai AS.

Testavimas yra geriausias būdas veiklos vertinimai, o kiekvienam veiklos rodikliui įvertinti reikalingi tam tikri testų tipai. Dažniausiai naudojamas metodas yra didžiausios apkrovos bandymas. Norint sukurti didžiausią apkrovą, reikia sukurti daugybę paslaugų užklausų, naudoti daug foninių procesų ir išnaudoti maksimalų sistemos išteklių kiekį. Šis metodas taip pat tinka saugos mechanizmams tikrinti, nes didžiausios apkrovos dažnai susikerta su normaliu veikimu eksploatacijos metu.

Didžiausias testavimas taip pat naudojamas labiau kryptingai, bandant išnaudoti konkrečių sistemos išteklių, tokių kaip buferiai, eilės, lentelės, prievadai ir pan., naudojimo kvotas.

Atsparus bandymams įsilaužti

Taikant šį metodą, užduotis yra įvertinti AS saugumo mechanizmų stabilumą nuo bandymų juos nulaužti ar apeiti. Atsparumas – tai AS gebėjimas blokuoti ir greitai reaguoti į galimas atakas. Pavyzdžiui, kriptovaliutos metodais galima sulaužyti konkretų apsaugos mechanizmą – šifravimą. Slaptažodžių gaudyklės kūrimas ir naudojimas yra apsaugos mechanizmų apėjimo pavyzdys.

Naudojami AE stabilumo analizės metodai nustatomi įsibrovėlio modeliu. Pagal įsibrovėlio modelį visi galimi įsibrovėliai paprastai skirstomi į dvi kategorijas: išorinius ir vidinius. Vidiniu pažeidėju laikomas subjektas, turintis prieigą prie standartinių AS ir SVT įrenginių kaip AS dalis. Pažeidėjai klasifikuojami pagal pajėgumų lygį, kurį jiems suteikia įprastos AS ir SVT priemonės. Yra keturi šių galimybių lygiai. Klasifikacija yra hierarchinė, t.y. kiekvienas kitas lygis apima ankstesnio funkcionalumą.

Pirmasis lygis (vartotojo lygis) apibrėžia labiausiai žemas lygis dialogo vedimo AS galimybės - paleisti užduotis (programas) iš fiksuoto rinkinio, kurios įgyvendina iš anksto nustatytas informacijos apdorojimo funkcijas.

Antrąjį lygį (taikomojo programuotojo lygį) lemia galimybė kurti ir paleisti savo programas su naujomis informacijos apdorojimo funkcijomis.

Trečiasis lygis (administratoriaus lygis) nustatomas pagal galimybę kontroliuoti AS funkcionavimą, t.y. įtaka pagrindinei sistemos programinei įrangai, jos įrangos sudėčiai ir konfigūracijai. Ketvirtasis lygis (sistemos programuotojo ar AS kūrėjo lygis) nustatomas pagal visas asmenų, dalyvaujančių projektuojant, diegiant ir remontuojant AS technines priemones, galimybes iki jų pačių techninių priemonių įtraukimo su nauja informacija. apdorojimo funkcijos CVT.

Išoriniai įsibrovėliai taip pat gali būti skirstomi į lygius pagal jų galimybių lygį.

Savo lygiu pažeidėjas yra specialistas Aukščiausios kvalifikacijos, žino viską apie AS ir ypač apie sistemą bei jos apsaugos priemones.

Atsparumo bandymams įsilaužti sąvoka taikoma ne tik atakoms prieš duomenis, bet ir atakoms, nukreiptoms prieš fizinius ir programinius AS išteklius. Atsparumo klastojimo bandymams įvertinimas gali būti techniškai pati sunkiausia užduotis, kai analizuojama išsamiai. Ši analizės dalis atliekama siekiant padidinti užtikrinimo lygį, taip pat rasti ir pašalinti AS apsaugos spragas. Tačiau patirtis rodo, kad „rasti ir pataisyti“ metodas yra netinkamas saugumui užtikrinti. Čia yra trys užduotys:

AS atsparumo įsilaužimo bandymams įvertinimas.
Pažeidžiamumų dydžio nustatymas (kokie sunkumai susiję su saugumo spragų naudojimu).
Apsaugos spragų išnaudojimo galimybių demonstravimas.

Yra keli AS stabilumo analizės metodai:

Ieškokite pažeidžiamumų, kurie patenka į konkrečią kategoriją arba atitinka tam tikrą modelį.
Sukurti hipotezę apie būdingiausius pažeidžiamumus ir nustatyti, ar jie egzistuoja tam tikroje programoje.

Nors šie metodai taikomi programinės įrangos analizei, yra panašių metodų ir aparatinės įrangos bei fizinių ir administracinių saugumo mechanizmų analizei.

Pastangų sutelkimo atliekant išsamią analizę strategijos

Net ir atlikus išsamią analizę retai pavyksta iki galo aprėpti visus atominių elektrinių saugos užtikrinimo aspektus. Toliau pateikiamos dvi fokusavimo strategijos, kurios naudojamos atliekant analizę taikant aukščiau aptartus metodus. Vienas pagrįstas apsaugos modelio komponentų analize, o kitas – konkrečių atakų scenarijų ir procesų, vykstančių AS, analize.

AE apsaugos modelio komponentų analizė

Ši fokusavimo strategija paremta keturiais pagrindiniais CA gynybos modelio komponentais, tai ištekliai, grėsmės, galimos grėsmių pasekmės ir saugumo mechanizmai. Į visus šiuos komponentus reikėtų atsižvelgti jau atliekant pradinę analizę ir atliekant rizikos analizę. Dabartinė užduotis apima išsamesnį jų svarstymą remiantis jau turimais duomenimis.

AS informacija, programinė įranga ir fiziniai ištekliai veikia kaip apsaugos objektas. Gali prireikti atlikti išsamų išteklių (failų, įrašų, programų, įrenginių, ryšio kanalų ir kt.) ir jų atributų (kiekis, parametrai, panaudojimas, charakteristikos) tyrimą.

AS išteklių saugumo grėsmės apibrėžiamos pagal įsibrovėlio modelį, grėsmės įgyvendinimo būdą ir atakos objektą. Analizuojant grėsmes svarbu atskirti grėsmių tipus: atsitiktinius, tyčinius ar dėl natūralių priežasčių. Apsauga nuo tyčinių grasinimų, dar vadinamų atakomis, gali būti pati sunkiausia.

Atakos prieš AS išteklius, vykdomos tiek išorinių, tiek vidinių įsibrovėlių, skirstomos į nuotolines (tinklo) ir vietines.

Vietinėms atakoms būdingi šie požymiai:

Grėsmės šaltinis, kaip aprašyta priešininko modelyje.
Išpuolio tipas rodo priklausymą vienai ar kitai žinomai atakos rūšiai, pagal jų klasifikaciją.
Puolimo būdas rodo priklausymą vienam ar kitam žinomam tokio tipo puolimo būdui, atsižvelgiant į jų klasifikaciją.
Atakos objektas (AS resursas, prieš kurį nukreipta ataka).
Grėsmės įgyvendinimo tikslas ir pasekmės (rezultatas) (pasekmių aprašymas ir galimos žalos įvertinimas). Galimi saugumo grėsmių įgyvendinimo tikslai yra AS konfidencialumo, vientisumo ar informacinių išteklių prieinamumo, taip pat AS programinės įrangos ir techninių komponentų prieinamumo pažeidimas.
Sąlygos (būtinos sąlygos) grėsmei saugumui atsirasti, pavyzdžiui, tam tikrų tipų pažeidžiamumo buvimas, programinės įrangos projektavimo ir kūrimo technologinio proceso pažeidimai ir kt.
Grėsmės gyvavimo ciklas, kurį sudaro šie procesai:
- Gimdymas,
- plėtra,
- įsiskverbimas į AS,
- įsiskverbti į svarbią informaciją,
- inicijavimas,
- veiksmo rezultatas,
- regeneracija.

Nuotolinės (tinklo) atakos papildomai gali būti apibūdinamos šiais požymiais:

Poveikio pradžios sąlyga:
- Ataka pagal užpulto objekto prašymą.
- Pasikėsinimas į tikėtino įvykio įvykį prieš užpultą objektą.
- Besąlyginis puolimas.
Esant grįžtamajam ryšiui su užpultu objektu:
- Su atsiliepimais.
- Nėra atsiliepimų.
Pagal atakos objekto vietą užpulto objekto atžvilgiu:
- Intrasegmentas.
- Intersegmentas.
Pagal OSI etaloninio modelio, kuriam daromas poveikis, lygį:
- Fizinis.
- Kanalas.
- Tinklas.
- Transportas.
- sesija.
- Vykdomasis.
- Taikoma.
Pagal poveikio pobūdį:
- Aktyvus.
- Pasyvus.

Analizėje nagrinėjami veiksniai, turintys įtakos sėkmingo grėsmių įgyvendinimo tikimybei. Grėsmių įgyvendinimo tikimybės priklauso nuo išteklių būklės ir kritiškumo laipsnio, su grėsmės įgyvendinimu susijusių pasekmių, esamų gynybos mechanizmų ir laukiamo užpuoliko pelno. Sėkmingo grėsmių įgyvendinimo tikimybės priklauso nuo AS saugumo spragų masto, kurios taip pat įvertinamos.

Analizės metodų pasirinkimą įtakoja grėsmių pobūdis. Pavyzdžiui, standartinis metodas yra programos šaltinio kodo analizė, siekiant nustatyti jų atitiktį nusistovėjusiai technologijai ir programavimo stiliui, ieškoti klaidų ir spragų diegiant saugumo mechanizmus. Tačiau jei programos kūrėjas yra grėsmės šaltinis, tada kyla problemų ieškant programinės įrangos klaidų ir vietoj šaltinio tekstų ir specifikacijų atliekamas objekto kodo tyrimas, nes kenkėjiški kūrėjo veiksmai šiuo atveju nebus dokumentuojami.

Grėsmių įgyvendinimo pasekmės yra galimų nuostolių formos, apibūdinamos AS savininkui ar naudotojams padarytos žalos dydžiu. Grasinimų įgyvendinimo pasekmių pavyzdžiai yra konfidencialios informacijos atskleidimas, klaidingų organizacijos vadovybės sprendimų priėmimas ir vagystės. Pinigai kompiuteriniu sukčiavimu. Vertinant galimą žalą, atsižvelgiama į blogiausią scenarijų.

Saugumo mechanizmų analizė apima išsamų jų kovos su grėsmėmis efektyvumo tyrimą. Šiame žingsnyje ieškoma saugos mechanizmų trūkumų, kurie sukelia saugumo pažeidžiamumą, nustatomi tikrieji sunkumai, susiję su konkretaus saugumo mechanizmo silpnybių išnaudojimu, analizuojamos papildomos saugos išlaidos ir nagrinėjami alternatyvūs apsaugos mechanizmų diegimo būdai.

Konkrečių atakų scenarijų ir procesų analizė

Šiuolaikinės AS dydis ir sudėtingumas dažnai neleidžia gauti išsamios informacijos apie visus jos veikimo aspektus. Tokiu atveju AS saugumo lygio įvertinimas turi būti pateiktas remiantis neišsamia informacija. Veiksmingas sprendimas šioje situacijoje yra naudoti metodą, susijusį su konkrečių atakų scenarijų ir procesų, vykstančių AS, analize. Šis metodas papildo pagrindinės analizės rezultatus konkrečių pavyzdžių, ir leidžia sutelkti dėmesį į privačius ir svarbiausius atskirų programų aspektus.

Atakos scenarijus apibūdina aukščiau aptartos saugumo grėsmės įgyvendinimo etapus. Atakos scenarijaus pavyzdys yra nuoseklus neteisėto įėjimo į AS (įskaitant užpuoliko veiksmų seką ir atakos planavimo procesą), naudojamų pažeidžiamumų, pažeistų AS išteklių ir atakos pasekmių aprašymas. (įskaitant žalos įvertinimą).

Šis metodas apima platų metodų naudojimą aktyviam AS saugumo testavimui naudojant atitinkamus įrankius. Aktyvaus testavimo idėja yra imituoti galimo užpuoliko veiksmus, siekiant įveikti apsaugos sistemą, naudojant žinomus vietinių ir nuotolinių atakų metodus. Remiantis testo rezultatais, daroma išvada apie žinomų AS pažeidžiamumų buvimą ar nebuvimą. Šiuo principu veikia tinklo skaitytuvai, kurie šiuo metu yra pagrindinis aktyvaus AS testavimo įrankis.

Ataskaitų dokumentų rengimas pagal sertifikavimo rezultatus

Pagrindiniai ataskaitiniai dokumentai apie sertifikavimo rezultatus yra Išvada ir prie jos pridedamas sertifikavimo testų protokolas. Išvadoje pateikiamos išvados dėl AE apsaugos mechanizmų atitikties sertifikavimo kriterijams, saugumo lygio įvertinimas ir rekomendacijos AE informacijos saugumo režimui užtikrinti, papildant esamas organizacines apsaugos priemones. Išvada pagrįsta sertifikavimo testų protokole esančiais duomenimis. Remdamasis Išvada, atestavimo komisijos pirmininkas priima sprendimą išduoti atitikties sertifikatą.

JAV rekomendaciniuose dokumentuose siūloma tokia galutinės ataskaitos struktūra:

Įvadas ir santrauka. Trumpai aprašoma tiriamos AS paskirtis, pagrindinės charakteristikos ir ypatumai, remiantis pagrindinių ir detalių analizių rezultatais daromos išvados, pateikiamos rekomendacijos, kaip pašalinti pastebėtus apsaugos organizavimo trūkumus.
Vertinimo objekto aprašymas. Šiame skyriuje pateikiama informacija, reikalinga priimti sprendimą dėl galimybės išduoti atitikties sertifikatą, leidžiantį apdoroti tam tikro kritiškumo laipsnio informaciją AS. Viena iš pagrindinių problemų yra kintamosios srovės standartų laikymasis, norminius dokumentus ir saugumo politikos reikalavimus. Šioje pastraipoje taip pat aprašomos AS savybės, turinčios įtakos sprendimui išduoti sertifikatą, AS naudojimo apribojimai ir jos ribos.
Atestavimo testų rezultatai. Pirmoje šio skyriaus dalyje aprašomi AS saugumo mechanizmai ir jų vaidmuo kovojant su esamomis grėsmėmis saugumui. Antroje skyriaus dalyje aprašomi AS pažeidžiamumai, kurie skirstomi į dvi kategorijas: likutinius pažeidžiamumus, kuriuos galima palikti dėl ekonominių priežasčių, ir pažeidžiamumus, kuriuos reikia pašalinti. Ši skyriaus dalis tarnauja vienu metu santrauka analizės rezultatus ir rekomendaciją pašalinti aptiktas spragas arba priimti liekamąją riziką.
Priemonės apsaugos sistemos trūkumams pašalinti. Šiame skyriuje aprašomos pažeidžiamumui šalinti skirtos priemonės, įvertinamos atsakomųjų priemonių įgyvendinimo sąnaudos ir jų įtaka AS darbui bei šių užduočių įgyvendinimas yra prioritetinis.

Prie galutinės ataskaitos pridedami šie dokumentai:

Atestavimo testų protokolas.
Išvada dėl sertifikavimo rezultatų, nurodanti galimybę AS apdoroti tam tikro kritiškumo lygio informaciją.
išankstinio AS tyrimo rezultatų ataskaitos, pagrindinės ir išsamios analizės.

AS nesilaikant jai keliamų informacijos saugumo reikalavimų ir nesant galimybės operatyviai pašalinti nustatytų trūkumų, gali būti priimtas sprendimas atsisakyti išduoti sertifikatą. Tokiu atveju gali būti nustatytas pakartotinio sertifikavimo laikotarpis.

Jei yra neprincipinio pobūdžio pastabų, pažyma gali būti išduodama patikrinus, ar šie komentarai nepašalinami.

Daugelis sertifikavimo metu nustatytų saugumo spragų negali būti pakankama priežastis atsisakyti išduoti sertifikatą. Esant tokiai situacijai, siekiant užpildyti AS programinės ir techninės įrangos apsaugos spragas, galima naudoti įvairias organizacinio lygio atsakomąsias priemones, kurių sąrašas turi būti nurodytas Atitikties sertifikate. Tokių atsakomųjų priemonių pavyzdžiai yra draudimas tvarkingai nuotolinės prieigos prie AS išteklių per telefono ryšio kanalus, informacijos, kurią leidžiama apdoroti AS, konfidencialumo lygio ribojimas, pažeidžiamiausių jos komponentų pašalinimas iš AS ir kt.