Informācijas sistēmu projekta atestācijas kārtība. Konkrētu uzbrukumu scenāriju un procesu analīze. Risku analīzes un vadības darbības

vispārīgs apraksts sertifikācijas procedūras automatizētas sistēmas par informācijas drošības prasībām (Astahovs)

SATURS
Ievads
Izmantotā terminoloģija

> Plānošana
Iniciācija
Analīze
Resursu plānošana

Informācijas vākšana
Dokumenti, kas satur drošības prasības

Pamata analīze
Atbilstības novērtējums drošības prasībām
Vienoti informācijas tehnoloģiju drošības novērtēšanas kritēriji
Drošības mehānismu analīze
Drošības mehānismu esamības pārbaude
Pārskats par drošības mehānismu ieviešanas metodoloģiju
Detalizēta analīze
Detalizētas analīzes pieejas
Stratēģijas centienu koncentrēšanai detalizētā analīzē
Konkrētu uzbrukumu scenāriju un procesu analīze
Pārskatu dokumentu sagatavošana, pamatojoties uz sertifikācijas rezultātiem
Pārskatu dokumentu saturs
Ievads

Mūsdienu apstākļos perspektīvākais veids, kā pārbaudīt sasniegto automatizēto sistēmu (AS) funkcionēšanas kvalitāti un drošības līmeni, ir sertifikācijas procedūra. Lai gan daudzām komerciālām atomelektrostacijām sertifikācija ir brīvprātīga, ir diezgan liela atomelektrostaciju kategorija, kuru sertifikācija saskaņā ar spēkā esošajiem tiesību aktiem ir priekšnoteikums to darbības uzsākšanai vai turpināšanai. Tajos ietilpst AS, kas paredzēta veidojošās informācijas apstrādei valsts noslēpums, vadīt videi bīstamus objektus un veikt slepenas sarunas.

Krievijā sertifikāciju pēc būtības tikai sāk ieviest AS izveides un lietošanas praksē. Šajā sakarā ir vesela virkne neatrisinātu problēmu, tostarp standartizācijas un uzlabošanas problēmas normatīvā dokumentācija, kas sastāv no sertifikācijā izmantoto dokumentu izstrādes, atlases un pielāgošanas un apraksta tās īstenošanas kārtību, kritērijus un metodiku. Šo problēmu risināšanā ir lietderīgi izmantot pasaules sabiedrības uzkrāto pieredzi.

Amerikas Savienotajās Valstīs 80. gadu sākumā tika izveidots vadlīniju dokumentu kopums sertifikācijas jomā. Šo dokumentu izpēte un pielāgošana Krievijas apstākļiem var ievērojami paātrināt iekšzemes normatīvā regulējuma izveides procesu. Priekš federālās struktūras Amerikas Savienotajās Valstīs pamatdokuments sertifikācijas jomā ir Vadlīnijas maiņstrāvas drošības atestācijas un akreditācijas veikšanai (FIPS PUB 102).

Šis darbs ir mēģinājums izmantot pašmāju pieredzi un Amerikas normatīvo regulējumu, lai izveidotu vispārīgu ceļvedi atomelektrostaciju sertificēšanai informācijas drošības prasībām.
Izmantotā terminoloģija

AES sertifikācijas sistēma ir neatņemama sastāvdaļa vienota sistēma informācijas drošības rīku (ISM) sertifikācija un informatizācijas objektu sertifikācija atbilstoši informācijas drošības prasībām, kuru darbības organizēšanu veic Valsts tehniskā komisija pie Krievijas Federācijas prezidenta. Saskaņā ar mūsu valstī pieņemto koncepciju par informācijas aizsardzību pret nesankcionētu piekļuvi (UAS), šīs problēmas risināšanai ir divi salīdzinoši neatkarīgi virzieni: ar datortehnoloģiju (CVT) saistītais un ar AS saistītais virziens. Atšķirība starp šīm jomām slēpjas apstāklī, ka, izskatot SVT aizsardzības jautājumus, tie aprobežojas tikai ar sistēmas funkcionēšanas programmatūras un aparatūras aspektiem, savukārt AS aizsardzība ietver organizatorisku aizsardzības pasākumu apsvēršanu. , fiziskās piekļuves jautājumi, informācijas aizsardzība pret noplūdi pa tehniskiem kanāliem utt. SVT ir programmatūras un aparatūras rīki, kas izstrādāti un piegādāti tirgum kā elementi, no kuriem tiek veidota AS. Papildus informācijas drošības sistēmu komplektam AS ietver apkalpojošo personālu un organizatorisko pasākumu sistēmu, kas nodrošina tās darbību, kā arī telpas, lietotāju informāciju, papīra dokumentāciju u.c. Divu nosacīti atšķirīgu jomu esamība informācijas aizsardzībā ir iemesls, kāpēc atšķiras mūsu valstī lietotā un citās valstīs pieņemtā terminoloģija. Jēdziens "sertifikācija saskaņā ar drošības prasībām" Krievijā tiek lietots saistībā ar CVT, savukārt tas pats process attiecībā uz AU tiek saukts par atestāciju. Amerikas Savienotajās Valstīs abos gadījumos tiek lietots jēdziens "sertifikācija".

Saskaņā ar Amerikas vadlīnijām drošības prasību sertifikācija ir organizatorisko un tehnisko pasākumu kopums, ko veic neatkarīgi eksperti, lai pārbaudītu AU vai CVT ieviesto drošības mehānismu atbilstību noteiktam prasību kopumam. Drošības prasības tiek izmantotas kā kritērijs AS vai CVT drošības līmeņa novērtēšanai. Tos var formulēt struktūru vadošajos dokumentos valdības kontrolēts, iekšējie un starpresoru rīkojumi, nacionālie un starptautiskie standarti, standartizēti aizsardzības profili vai drošības uzdevumi, kā arī noteiktas organizācijas vai ĀS lietotāju prasību veidā.

Piezīme: Precizitātei šī raksta pārējā daļā attiecībā uz ĀS tiks lietots mūsu valstī pieņemtais termins - sertifikācija.

Sertifikācijas pārbaužu pozitīva rezultāta gadījumā tiek izveidots īpašs dokuments - "Atbilstības sertifikāts", kas apliecina, ka testa objekts atbilst standartu vai citu normatīvo un tehnisko dokumentu prasībām par informācijas drošību. Tādējādi galvenais sertifikācijas produkts ir atbilstības sertifikāts. Taču ne mazāk svarīgi ir arī fakts, ka AES apkopes personāls, tās izstrādātāji un lietotāji aktīvi iesaistās pārbaudēs un sertifikācijas testos, kā rezultātā paaugstinās viņu informētība par drošības jautājumiem un kopējais AES drošības līmenis.

ĀS sertifikācija atbilstoši informācijas drošības prasībām ir tikai viens no vispārējās sertifikācijas procedūras aspektiem, kas tiek veikta, lai gūtu pārliecību, ka AU atbilst funkcionalitātes, veiktspējas, drošības, kvalitātes un darbības uzticamības prasībām. Tāpēc to vislabāk veikt kā daļu no vispārējās kvalifikācijas procedūras, kas aptver visas iekārtas veiktspējas prasības un bieži vien izmanto tās pašas apsekošanas un pārbaudes metodes.

Amerikas normatīvajā dokumentācijā termins "sertifikācija" tiek lietots saistībā ar programmatūru, aparatūras komponentiem, lietojumprogrammām, sistēmām, termināļiem, tīkliem un citiem objektiem. Sertificētās preces raksturam ir minimāla ietekme uz kopējo sertifikācijas procesu, lai gan tas būtiski ietekmē individuālā darba detaļas.

Amerikas Savienotajās Valstīs termins "AS drošības akreditācija" attiecas uz uzņēmuma vadības apstiprinājumu, pamatojoties uz atestācijas rezultātiem, kas ļauj izmantot AU, lai apstrādātu svarīgu un/vai konfidenciālu informāciju noteiktā darbības vidē.

Tādējādi akreditācija ir oficiāla vadības atļauja izmantot šo AS noteiktā darbības vidē. Lai gan šī definīcija attiecas tikai uz "būtiskiem un/vai sensitīviem datiem", tā ir paredzēta plašākai un ietver arī kritiskus PS, kas var nesaturēt svarīgus un/vai sensitīvus datus. Šādas PS tiek uzskatītas par kritiskām kaitējuma dēļ, kas var tikt nodarīts organizācijai, ja šai AS tiek atteikta pakalpojuma sniegšana, nevis datu nesankcionēta izpaušana vai izmantošana.

Kritiskās PS ir PS, kurām nepieciešama noteikta drošības pakāpe, jo tās apstrādā sensitīvus datus vai ir pakļautas kaitējuma riskam to nepareizas darbības vai ļaunprātīgas manipulācijas rezultātā.

Visiem runātājiem ir noteikta kritiskuma pakāpe. Svarīgs jautājums ir līguma esamība, par kuru AS ir jāsertificē. Ir vēlams izveidot šādu AS prioritāru sarakstu.
Sertifikācijas procedūras apraksts

AES sertifikācijas procedūru nosacīti var iedalīt vairākos secīgos posmos: plānošana, informācijas vākšana, pamata analīze, detalizēta analīze, atskaites dokumentu sagatavošana un akreditācija. Katra šī posma saturs ir apskatīts turpmāk.
Plānošana

Sertifikācijas sagatavošanas un veikšanas plānā ir jānosaka problemātiskās jomas, vajadzības pēc īpašām zināšanām, vajadzības pēc instrumentiem, kas atbalsta novērtēšanas procedūru, un citi jautājumi, uz kuriem nevar atbildēt, neveicot atbilstošu analīzi, kas ir raksturīga sākotnējā novērtējuma posmam un ir raksturīga katram konkrētajam situāciju. Ir četri plānošanas posmi:
Iniciācija.
Analīze.
Resursu plānošana.
Sertifikācijas plāna dokumentācija.
1. attēls. Atestācijas procedūras plānošana.

Iniciācija

Uzsākšanas stadijā tiek noteikta vispārējā sertifikācijas shēma un saskaņota ar darba pasūtītāju. Shēma nosaka vispārējo darba kārtību un nepieciešamās resursu izmaksas. Tiek izskatīti šādi jautājumi:
Informatizācijas objekta mērķis, veicamās funkcijas un struktūra; AS un tajā apstrādātās informācijas kritiskums; aptaujas robežas; vājās vietas un problēmzonas; aizsardzības līdzekļu kompleksa sastāvs un struktūra; dažāda tehniskā profila speciālistu piesaiste darbu veikšanai.
Darba laika izmaksu un resursu izmaksu aplēse; iepriekšējās riska analīzes un drošības audita rezultātu pieejamība, ko varētu izmantot, lai noteiktu sertifikācijas darba sarežģītību un apjomu.
Ekspertu grupas sastāvs; pienākumu sadale starp speciālistiem.
Faktori, kas ietekmē sertifikācijas pārbaužu kvalitāti un dziļumu.
Īpašu prasību esamība konkrētam objektam, kas būtu jāizmanto kā sertifikācijas kritērijs, papildus pieejamajai normatīvajai dokumentācijai.
Dokumentācijas pieejamība un pilnīgums, izmantoto drošības mehānismu dokumentācija.
Organizācijas drošības politikas pieejamība un dokumentācija.

Pieņemtā sertifikācijas shēma tiek sastādīta darba uzdevuma un darba grafika veidā.
Analīze

Analīze ir galvenā plānošanas procesa sastāvdaļa. Analīzes laikā tiek izskatīti šādi jautājumi:
Drošības prasības
Sākotnējie dati
Sertifikācijas un darbu sadales robežas

Drošības prasību analīze

Sertifikācijas mērķis ir pārbaudīt pētāmā AU atbilstību tai izvirzītajām drošības prasībām. Tāpēc analīze sākas ar drošības prasību apsvēršanu. Galvenais sertifikācijas kritērijs ir prasības, kas formulētas Krievijas Federācijas Valsts tehniskās komisijas reglamentējošo dokumentu veidā, Krievijas Federācijas likumi, iekšējie, starpresoru, valsts un starptautiskie standarti. Katrai AES tiek izskatīts arī iekšējo prasību kopums, kas tiek formulēts, pamatojoties uz risku analīzes rezultātiem un ņemot vērā pētāmās AES darbības vides specifiku un īpatnības. Dažas iekšējās prasības var būt ļoti specifiskas konkrētai AS un būt saistītas ar datu kritiskumu, ierobežojumiem noteikta veida informācijas izpaušanai un citiem drošības jautājumiem.
Sākotnējo datu sastāva analīze

Lai izstrādātu sertifikācijas testu programmu un metodiku, papildus Valsts tehniskās komisijas RD "Informatizācijas objektu sertificēšanas noteikumos informācijas drošības prasībām" ietvertajam standarta sākuma datu sarakstam nepieciešams arī nodrošināt papildu dati, kuru sastāvs tiek precizēts katrā konkrētajā situācijā. Piemēram, ziņojumi par zināmām AS nepilnībām, NVD mēģinājumi iegūt informāciju vai ziņojumi par problēmām, kas radušās iepriekšējā tā darbības periodā, rada nepieciešamību ievākt papildu informāciju no šaurākām jomām.

Organizācijas vadībai, kurai pieder vai ekspluatē atomelektrostaciju, var būt savs viedoklis par informāciju, ko var sniegt kā ievadi sertificēšanai. Plānojot, šie viedokļi ir jāņem vērā. Piemēram, lai nodrošinātu komercnoslēpumu drošību, starp pasūtītāju un darbuzņēmēju var tikt noslēgts konfidencialitātes līgums.
Sertifikācijas un darbu sadales robežu noteikšana

Nosakot sertifikācijas robežas, vienlīdz jāņem vērā organizatoriskais, fiziskais un programmatūras un aparatūras drošības līmenis. Pretējā gadījumā sertifikācijas rezultāti neatspoguļos patieso AS drošības līmeni. Piemēram, uzticamas tehniskās aizsardzības metodes būs bezjēdzīgas, ja administratīvā kārtība ir nepareizi noteikta vai fiziskās drošības pasākumi nav piemēroti.

Kad validācijas apjoms ir noteikts, pieņēmumi par darbības vidi ir jādokumentē. Piemēram, ja operētājsistēma neietilpst pētāmā objekta robežās, tad ir nepieciešams dokumentēt pieņēmumu, ka OS nodrošina pietiekamu pamata drošības līmeni tādās jomās kā procesu izolācija, autentifikācija, autorizācija, uzraudzība, integritātes kontrole, notikumu reģistrēšana un uzskaite utt. n. Pieņēmumi par ĀS vidi un darbības apstākļiem ir norādīti "Atbilstības sertifikātā" un ir nepieciešams nosacījums, lai ĀS varētu apstrādāt kritisku vai konfidenciālu informāciju.

Nosakot sertifikācijas robežas, tiek veikta atbildības sadale starp ekspertu grupas speciālistiem. Vairumā gadījumu sertifikācijas testu sagatavošanai un veikšanai ir nepieciešama dažādu tehnisko profilu speciālistu līdzdalība.

Nosakot ekspertu grupas sastāvu un darba sadalījumu, tiek ņemtas vērā vairākas ĀS pazīmes. Galvenās iezīmes, kurām tiek pievērsta uzmanība, ietver AS programmatūras un aparatūras komponentu un to dokumentācijas skaitu un sarežģītību.

AS programmatūras un aparatūras komponentu skaits un sarežģītība nosaka sertifikācijai nepieciešamo darbaspēka apjomu. Turklāt jāņem vērā tādas PS īpašības kā tās sastāvdaļu fiziskais, loģiskais vai funkcionālais sadalījums.

ĀS dokumentācija ir svarīgs faktors sertifikācijas procedūras plānošanā. Nepieciešams ņemt vērā AES informācijas drošības apakšsistēmas apraksta esamību, tai skaitā drošības mehānismu aprakstu, aizsardzības instrumentu kopumu un organizatorisko pasākumu sistēmu; vai dokumentācijā ir nošķirti drošības mehānismi un citi mehānismi; vai funkcionālās prasības ir dokumentētas, vai ir sistēmas specifikācijas, testēšanas dokumentācija, uzziņu rokasgrāmatas u.c. Tiek ņemts vērā arī iesniegtās dokumentācijas pilnība, atbilstība pašreizējam lietu stāvoklim, normatīvās un metodiskās dokumentācijas prasības.
Fokusa jomas

Veicot sertifikācijas testus, galvenā uzmanība jāpievērš komponentiem un apakšsistēmām, kas pārraida, apstrādā un uzglabā kritisko informāciju. Informācijas kritiskumu nosaka iespējamā kaitējuma apjoms, kas var tikt nodarīts organizācijai šīs informācijas drošības pārkāpuma gadījumā.

Papildus informācijas kritiskumam paaugstinātas uzmanības jomu definīciju var ietekmēt arī citi faktori. Piemēram, mazāka uzmanība var tikt pievērsta tiem AS komponentiem, kuru visas ievainojamības jau ir labi saprotamas. Tomēr šo ievainojamību esamība ir jādokumentē.

Lai identificētu jomas, kurām sertifikācijas laikā ir jāpievērš pastiprināta uzmanība un pūļu koncentrācija, var izmantot dažādas ekspertu novērtējuma metodes. Piemēram, plaši izplatītā Delphi metode. AES drošības audita vai visaptveroša audita rezultāti, riska analīzes rezultāti un dati par notikušajiem drošības pārkāpumiem var kalpot par izejas datiem lēmuma pieņemšanai. Ievainojamības, kurām nepieciešama īpaša uzmanība, var noteikt, veicot lietotāju un apkalpojošā personāla aptaujas.
Nepieciešamais detalizācijas līmenis

Vairumā gadījumu adekvātu rezultātu iegūšanai pietiek ar AS drošības mehānismu pamata analīzi, kas ļauj noteikt tās kopējo drošības līmeni un drošības prasību atbilstības pakāpi. Pamata analīze aprobežojas ar funkcionālo specifikāciju līmeni un sastāv no klātbūtnes pārbaudes sastāvā komponentu sistēmas kas ievieš nepieciešamo drošības prasību kopumu.

Dažās situācijās, ņemot vērā apstrādājamās informācijas augsto kritiskumu vai ja drošības mehānismi atrodas zemākos abstrakcijas līmeņos un neredzami augstākos līmeņos, ir pamatota detalizēta analīze. Detalizētā analīzē tie neaprobežojas tikai ar klātbūtnes fakta norādīšanu nepieciešamās funkcijas drošību, bet arī izvērtēt to īstenošanas efektivitāti.

Ir daudz kritēriju, lai noteiktu sertifikācijā izmantoto detalizācijas pakāpi. Vairumā gadījumu galvenie kritēriji ir: AS kritiskums, avota datu sastāvs (piemēram, programmu pirmkodu pieejamība) un drošības mehānismu izvietojums (tiek izmantoti iebūvēti vai noteikti aizsardzības rīki) . Citi kritēriji var būt: klienta pieprasītā detalizācijas pakāpe, ĀS lielums un sarežģītība, ekspertu pieredze. Lēmumi, kas pieņemti, pamatojoties uz iepriekš uzskaitītajiem kritērijiem, var attiekties gan uz visu AES, gan uz atsevišķiem tās komponentiem un apakšsistēmām.
Resursu plānošana

Pamatojoties uz veikto analīzi, tiek piešķirti resursi (pagaidu, cilvēku, tehniskajiem līdzekļiem utt.), kas nepieciešami uzdevumu veikšanai. Laika aprēķins ietver ne tikai laiku, kas nepieciešams uzdoto uzdevumu risināšanai, bet arī laiku, kas saistīts ar organizatorisko jautājumu risināšanu, kad tiek piešķirti atbilstoši resursi. Resursu piešķiršana tiek veikta, ņemot vērā iespējamās neplānotās situācijas, kas varētu ietekmēt cilvēkresursu un citu resursu pieejamību.
Sertifikācijas plāna dokumentācija

Pamatojoties uz veikto analīzi, tiek sagatavots un apstiprināts sertifikācijas plāns, kas kopumā ietver šādas sadaļas:
Kopsavilkums. Ietver visu nepieciešamo informāciju darba kārtībā.
Ievads. Apraksta AS struktūru un aptaujas robežas, apstrādājamās informācijas un citu resursu kritiskuma līmeni, sistēmas risināmās uzdevumu grupas un drošības politikas noteiktos ierobežojumus, vispārējo darba grafiku, k. kā arī PS drošības līmeņa novērtēšanas kritēriji, tai skaitā normatīvo dokumentu prasības un šai PS specifiskās prasības.
Atbildības sadale. Tiek noteikta ekspertu grupas un citu sertifikācijas procedūras dalībnieku organizatoriskā struktūra un pienākumi. Ir noteikti apkopes personāla pienākumi atbalstīt sertifikācijas procedūru.
Drošības prasības. Ir noteikts drošības prasību kopums, kas izmantojams kā atestācijas kritērijs. Papildus esošajam normatīvajam regulējumam parasti ir papildu prasības, ko nosaka lietotāji un organizācijas drošības politika un kas ir specifiskas pētāmajai AS. Universāla metode esošajiem draudiem atbilstošu drošības prasību noteikšanai ir riska analīze.
Novērtēšanas pieeja. Šajā sadaļā ir uzskaitīti uzdevumi, kas saistīti ar pamata analīzes veikšanu un, ja nepieciešams, detalizētu analīzi. Tiek veikta darba sadale starp sertifikācijas procedūras dalībniekiem. Uzdevumu sastāvs lielā mērā ir atkarīgs no tā, vai AES atrodas izstrādes vai ekspluatācijas stadijā. Aplūkotās problēmas ietver fokusa jomas, detalizācijas līmeņus, konkrēti uzdevumi un izmantotās pārbaudes metodes, informācijas avoti.
Darbu plāns-grafiks. Nosaka starpposma atskaites dokumentu un sākotnējo datu sagatavošanas laiku, sanāksmju laiku un darba posmu pabeigšanas termiņus. Starpposma ziņojumu laiks tiek noteikts, pamatojoties uz laika aprēķinu, kas veikts resursu plānošanas posmā.
Atbalsts. Uzskaita prasības administratīvā un tehniskā atbalsta veidiem sertifikācijas procedūrai no apkalpojošā personāla un organizācijas vadības puses.
Grāmatvedības dokumenti. Galvenie atskaites dokumenti ir pārskats par informatizācijas objekta sākotnējās pārbaudes rezultātiem, atestācijas testu veikšanas programma un metodika, pārbaudes protokols un slēdziens par pārbaudes rezultātiem.
Lietojumprogrammas. Pielikumos ir sniegta ziņojuma struktūra par sertifikācijas pārbaužu rezultātiem, kā arī informācija par testēšanā un analīzē izmantotajām metodēm un instrumentiem vai sniegtas saites uz šādas informācijas avotiem.

Atšķirības starp AES attīstības stadijā un ekspluatācijas stadijā veiktajām sertifikācijas procedūrām parādās, apsverot atsevišķu uzdevumu izpildes detaļas. Piemēram, testējot drošības mehānismus, izstrādes stadijā veiktajā validācijā ir tikai testa dati, savukārt ekspluatācijas stadijā ir pieejami arī audita un drošības uzraudzības dati.
Informācijas vākšana

Liela daļa ar novērtēšanu saistītā darba (ieskaitot plānošanas fāzi) ir informācijas vākšana. Apskatīsim trīs galvenās informācijas vākšanas metodes:
Informācijas iegūšana no apkalpojošā personāla un AS izstrādātājiem.
Studē dokumentāciju.
Aptauju veikšana.

Veicot sertifikāciju, vislielākais laiks tiek veltīts ĀS īpašību izpētei. Pētot AS, tiek apskatīti divi galvenie jautājumi: (1) AS darbības mērķis un principi, (2) AS drošības līmenis (drošības draudi, resursi, aizsardzības mehānismi, ievainojamības). Abus šos jautājumus var atrisināt, iepazīstoties ar dokumentāciju un veicot lietotāju un AS izstrādātāju aptauju. Tomēr šīs informācijas vākšanas metodes prasa daudz laika.

Ideālā gadījumā labākais informācijas avots par informatizācijas objektu ir projektēšanas, darba un ekspluatācijas dokumentācija. Diemžēl dokumentācijas kvalitāte bieži ir slikta, un dažreiz tās vienkārši trūkst. No otras puses, tur, kur tas pastāv, tā apjoms var sasniegt simtiem un tūkstošiem drukāta teksta lappušu. Dokumentācijā var būt arī novecojusi informācija. Drošības mehānismi dokumentācijā bieži nav nodalīti no citiem mehānismiem vai nav aprakstīti vispār. Tāpēc esošo dokumentāciju bieži ir grūti izpētīt, un tajā nav pietiekami daudz sākotnējo datu sertifikācijai.

Aptauju veikšanas metodei nav arī trūkumi. Viens no galvenajiem šīs metodes trūkumiem ir tas, ka vajadzīgās informācijas iegūšana prasa ievērojamu laiku. Tipiskai aptaujai ir nepieciešama vismaz viena cilvēka darba diena, tostarp sagatavošanas un dokumentācijas laiks, un tas patērē laiku gan intervētājiem, gan intervētajiem.

Lielākā daļa efektīva metode informācijas vākšana par ĀS ir metode, kurā organizācijas, kas attīsta vai ekspluatē ĀS, vadība izvirza uzdevumu tās izstrādātājiem vai apkopes personālam sagatavot šo informāciju un iesniegt to ekspertu grupai.

Sertifikācijas pārbaudēm jāsagatavo šādi dokumenti:

Dokumenti, kas satur drošības prasības.
Riska analīzes ziņojums.
Lietojumprogrammu informācijas plūsmu diagrammas.
2. attēls. Informācijas vākšana sertifikācijai.

Dokumenti, kas satur drošības prasības

Drošības prasības ir sertifikācijas kritērijs. Ja drošības prasības nav pareizi formulētas, tad tas tiek darīts kvalifikācijas laikā. Prasību formulēšana ir ĀS atbalsta speciālistu un tās sertifikācijas ekspertu kopīgā darba rezultāts. Sertifikācijas veicēju ekspertu līdzdalība nepieciešama tādēļ, ka AS atbalsta speciālistiem nav pietiekamu zināšanu informācijas drošības jomā, īpaši saistībā ar normatīvo un tiesisko regulējumu. AS atbalsta speciālistu līdzdalība nepieciešama AS darbības pazīmju, kā arī lietotāju prasību sertifikācijas ekspertu neizpratnes dēļ.

Tipisks vadlīniju dokumentu kopums, ko izmanto atomelektrostaciju sertificēšanai mūsu valstī, ietver, bet ne tikai, šādus dokumentus:
Krievijas Federācijas 1995.gada 20.februāra likums Nr.24-F3 "Par informāciju, informatizāciju un informācijas aizsardzību";
Krievijas Federācijas 1996.gada 4.jūlija likums Nr.85-F3 "Par dalību starptautiskajā informācijas apmaiņā";
Krievijas Federācijas prezidenta 1997.gada 6.marta dekrēts Nr.188 "Par konfidenciālās informācijas saraksta apstiprināšanu";
«Automatizētās sistēmas. Aizsardzība pret nesankcionētu piekļuvi informācijai. AS klasifikācija un informācijas drošības prasības”, Krievijas Valsts tehniskā komisija, 1997;
«Datortehnikas līdzekļi. Aizsardzība pret nesankcionētu piekļuvi informācijai. Drošības rādītāji pret nesankcionētu piekļuvi informācijai”, Krievijas Valsts tehniskā komisija, 1992.

No uzskaitītajiem normatīvajiem dokumentiem sertifikācijai īpaši svarīgi ir pēdējie divi.

Krievijas Federācijas Valsts tehniskās komisijas pamatdokuments (RD) “SVT. Aizsardzība pret nesankcionētu piekļuvi informācijai. Drošības indikatori no nesankcionētas piekļuves informācijai” nosaka CBT klasifikāciju atbilstoši drošības līmenim no nesankcionētas piekļuves informācijai, pamatojoties uz drošības rādītāju sarakstu un tos raksturojošo prasību kopumu. Ir izveidotas septiņas CVT drošības klases no UA līdz informācijai. Zemākā klase ir septītā, augstākā – pirmā. Klases ir sadalītas četrās grupās, kas atšķiras pēc drošības līmeņa:
pirmajā grupā ir tikai viena septītā klase;
otro grupu raksturo diskrecionāra aizsardzība, un tajā ir sestā un piektā klase;
trešo grupu raksturo obligāta aizsardzība, un tajā ir ceturtā, trešā un otrā klase;
ceturtajai grupai raksturīga pārbaudīta aizsardzība, un tajā ir tikai pirmā klase.

Krievijas Federācijas Valsts tehniskās komisijas RD “AS. Aizsardzība pret nesankcionētu piekļuvi informācijai. AS klasifikācijas un informācijas aizsardzības prasības” nosaka pret nesankcionētu piekļuvi informācijai aizsargājamo AS klasifikāciju un informācijas aizsardzības prasības dažādu klašu AS. Noteicošās pazīmes, pēc kurām AS tiek grupētas dažādās klasēs, ir:
dažādu konfidencialitātes līmeņu informācijas klātbūtne AS;
AS piekļuves subjektu pilnvaru līmenis piekļūt konfidenciālai informācijai;
datu apstrādes režīms AS - kolektīvs vai individuāls.

Ir izveidotas deviņas AS drošības klases no NSD līdz informācijai. Katrai klasei ir raksturīgs noteikts minimālais aizsardzības prasību kopums. Klases iedala trīs grupās, kas atšķiras pēc informācijas apstrādes pazīmēm AS. Katras grupas ietvaros tiek ievērota aizsardzības prasību hierarhija atkarībā no informācijas vērtības un konfidencialitātes un līdz ar to arī AS drošības klašu hierarhija.

Turklāt atkarībā no AES rakstura var tikt izmantoti citi Krievijas Federācijas Valsts tehniskās komisijas reglamentējošie dokumenti, kas satur prasības konkrētām SVT klasēm, kas ir daļa no AES.
Riska analīzes ziņojums

Informatizācijas objektā tiek veikta riska analīze, lai pamatotu ĀS drošības prasības, precizētu šo prasību sastāvu un izstrādātu pretpasākumu sistēmu, kas nepieciešama, lai veiksmīgi cīnītos pret šajā vidē pastāvošajiem drošības apdraudējumiem. Risku analīzes ziņojumā ir ietverts AES resursu apraksts, to kritiskuma novērtējums, esošo apdraudējumu un ievainojamību apraksts, ar draudu ieviešanu saistīto zaudējumu novērtējums un riska novērtējums. Riska novērtējumu nosaka apdraudējuma iespējamība, ievainojamības lielums un organizācijai iespējamā kaitējuma apmērs sekmīgas apdraudējuma īstenošanas gadījumā. Riska analīzes veikšanai nepieciešama par rūpnīcas darbību atbildīgo speciālistu aktīva līdzdalība.
Lietojumprogrammas informācijas plūsmas diagrammas

Lietojumprogrammu informācijas plūsmas diagrammas apraksta lietojumprogrammu ievades, izvades un iekšējās informācijas plūsmas, kas darbojas AS. Informācijas plūsmu diagrammas ir nepieciešamas, lai izprastu AS darbības principus. Šis dokuments tiek gatavots, piedaloties speciālistiem, kas ir atbildīgi par AS atbalstu.
AS drošības mehānismu apraksts

Drošības mehānismi ietver jebkādu aizsardzības pasākumu īstenošanu, tostarp organizatorisko, fizisko un programmatūras un aparatūras līmeni, kā arī visas darbības un procedūras, kas samazina ĀS drošības pārkāpuma iespējamību.

Dokumenti, kas satur AES drošības mehānismu aprakstu, kas saņemti no AES attīstītājiem vai apkalpojošā personāla, ir jāatbalsta, izpētot dokumentāciju un veicot aptaujas.
Pamata analīze

Atestāciju var veikt divos detalizācijas līmeņos: pamata analīzē un detalizētā analīzē. Galvenā atšķirība starp pamata un detalizēto analīzi ir tā, ka pamata analīze galvenokārt koncentrējas uz SS vispārējo drošības funkcionalitāti, nevis uz atsevišķu aizsardzības mehānismu iezīmēm. Piemēram, pamata analīze nosaka, vai piekļuves kontrole ir pietiekama faila vai atsevišķa ieraksta līmenī; vai ir pietiekami ieviest autentifikāciju resursdatora vai lietotāja līmenī. Bāzes analīzē tiek pārbaudīta arī drošības mehānismu esamība. Detalizēta analīze pārbauda, vai drošības mehānismi darbojas pareizi, vai tie atbilst darbības kritērijiem, vai tie ir pietiekami uzticami un vai tie ir izturīgi pret manipulācijas mēģinājumiem.

Pamata analīzes laikā tiek atrisināti šādi galvenie uzdevumi:
Drošības prasību atbilstības novērtējums.
Drošības mehānismu atbilstības novērtējums.
Drošības mehānismu esamības pārbaude.
Pārskats par drošības mehānismu ieviešanas metodoloģiju.
3. attēls. AS pamata analīzes posmi

Drošības prasību atbilstības novērtējums

Sertifikācijas galvenais mērķis ir pārbaudīt AES drošības mehānismu atbilstību tiem izvirzītajām prasībām. Tāpēc drošības prasībām ir jābūt skaidri definētām un tām jābūt adekvātām esošajiem riskiem. Lielākajai daļai atomelektrostaciju nav skaidri definēta atbilstošu drošības prasību kopuma.

Sākotnējās analīzes fāzē esošās drošības prasības ir kritiski jāpārbauda, lai noteiktu to piemērotību validācijas mērķiem un atbilstību lietotāju vēlmēm, organizācijas drošības politikai un juridiskajiem un normatīvajiem regulējumiem. Lielāko daļu prasību var atrast darba uzdevums lai izveidotu AS.

Ja drošības prasības nav iepriekš noteiktas un dokumentētas, tad tās ir jāformulē un jādokumentē riska analīzes procesā.

Gan nosakot, gan novērtējot drošības prasību atbilstību, tiek ņemtas vērā divas prasību klases: vispārīgās prasības un pētāmajai AES specifiskās prasības. Vispārīgās prasības ir formulēti, pamatojoties uz federālajiem likumiem, valsts institūciju reglamentējošiem dokumentiem, standartiem un organizācijas drošības politiku. Īpašas prasības tiek formulētas riska analīzes procesā.
Risku analīzes un vadības darbības

Riska analīze ir vieta, kur jāsāk jebkuras informācijas drošības sistēmas izveide. Tas ietver AES drošības apsekošanas aktivitātes, kuru mērķis ir noteikt, kādi resursi un no kādiem apdraudējumiem ir jāaizsargā, kā arī cik lielā mērā atsevišķiem resursiem nepieciešama aizsardzība. Adekvātu pretpasākumu kopuma noteikšana tiek veikta riska pārvaldības gaitā. Riska analīzes un pārvaldības pasākumu būtība un saturs ir atklāts zemāk.

Risku nosaka kaitējuma nodarīšanas varbūtība un AES resursiem nodarītā kaitējuma apjoms drošības apdraudējuma gadījumā.

Riska analīzes mērķis ir identificēt esošos riskus un novērtēt to lielumu, t.i., noteikt tos kvantitatīvi. To var iedalīt vairākos secīgos posmos:
Galveno AS resursu identificēšana.
Noteiktu resursu nozīmes noteikšana.
Esošo drošības apdraudējumu un ievainojamību identificēšana, kas ļauj īstenot draudus.
Ar drošības apdraudējumu ieviešanu saistīto risku aprēķins.

AS resursus var iedalīt trīs kategorijās:
Informatīvie resursi.
Programmatūra.
Tehniskie līdzekļi.

Katrā kategorijā resursus var iedalīt klasēs un apakšklasēs. Nepieciešams identificēt tikai tos resursus, kas nosaka AS funkcionalitāti un ir būtiski no drošības nodrošināšanas viedokļa.

Resursa nozīmi (vai izmaksas) nosaka konfigurācijas pārkāpuma gadījumā nodarītā kaitējuma apjomsAtjaunināts: 03.11.2015.

Nesen, lidojuma laikā uz Iževsku, pārlūkoju lidmašīnā saņemto žurnālu un uzgāju rakstu par personas datiem, kurā bija šādi apgalvojumi: “ Ļoti gribu paziņot komercuzņēmumu vadītājiem, ka darbs pie informatizācijas objektu sertificēšanas atbilstoši informācijas drošības prasībām bija jāuzsāk jau 2006.gadā, kad tika parakstīts federālais likums.". Un tas ir klasisks nepareizs priekšstats, kas joprojām ir sastopams reģionos un dažkārt to uzspiež atsevišķi regulatori. Cik tā ir patiesība? Vai ir nepieciešama sertifikācija? Informācijas sistēmas? Un vispār, vai tas principā ir iespējams?

Sāksim ar definīciju. Informatizācijas objekta sertifikācija atbilstoši informācijas drošības prasībām tiek saprasta kā organizatoriski tehnisku pasākumu kopums, kura rezultātā ar speciāla dokumenta - “Atbilstības sertifikāta” palīdzību tiek apstiprināts, ka objekts atbilst normatīvo aktu prasībām. Krievijas FSTEC apstiprināto standartu vai citu normatīvo dokumentu prasības par informācijas aizsardzību. Vienīgais dokuments, kas apraksta šo procesu, ir Valsts tehniskās komisijas (bijušais nosaukums FSTEC) 1994.gada 25.novembrī apstiprinātie noteikumi "Par informatizācijas objektu sertificēšanu informācijas drošības prasībām".

Vispirms atklāsim pēdējo daļu mītam par obligāto sertifikāciju. Patiešām, pirmajā FSTEC dokumentu versijā par personas datu aizsardzību bija frāze par obligāto 1. un 2. klases ISPD sertifikāciju, kā arī izplatītajiem 3. klases ISPD. Taču 2008.gada februārī izdotie FSTEC dokumenti vairs nav spēkā - tie tika atcelti ar FSTEC valdes lēmumu šā gada 2010.gada martā. Vienīgajā šobrīd spēkā esošajā tiesību aktā par personas datu aizsardzību (un tas ir FSTEC rīkojums Nr. 58) nav noteikta prasība pēc atestācijas. Papildus jāņem vērā, ka saskaņā ar jau minēto noteikumu par sertifikāciju " Informatizācijas objekti, kas paredzēti valsts noslēpumu veidojošas informācijas apstrādei, videi bīstamu objektu apsaimniekošanai, slepenu sarunu vešanai, ir obligāti jāsertificē.". Turklāt noteikums nosaka, ka " citos gadījumos sertifikācija ir brīvprātīgi(brīvprātīga sertifikācija) un to var veikt pēc pasūtītāja vai informatizācijas objekta īpašnieka iniciatīvas". Pati FSTEC savos normatīvajos dokumentos skaidri un gaiši atbild uz jautājumu par komercuzņēmumu informācijas sistēmu obligāto sertifikāciju.

Tagad atcerēsimies mīta otro daļu un redzēsim, kā vispār ir iespējama mūsdienu informācijas sistēmas validācija. Pirmkārt, tas nav tikai programmatūras un aparatūras rīku komplekts, kas apstrādā informāciju, kas ir pakļauta sertifikācijai. Informatizācijas objekts ir sertificēts, kas saskaņā ar GOST R 51275-2006 ir definēts kā " informācijas resursu, rīku un informācijas apstrādes sistēmu kopums, ko izmanto saskaņā ar doto informāciju tehnoloģijas, informatizācijas objekta nodrošināšanas līdzekļi, telpas vai objekti (ēkas, būves, tehniskie līdzekļi), kuros tie uzstādīti, vai telpas un objekti, kas paredzēti konfidenciālu sarunu vešanai". Proti, atbilstība drošības prasībām tiek pārbaudīta ne tikai konkrētai informācijas sistēmai, bet arī telpām, kurās šī IS darbojas.

Viss būtu kārtībā un atbilstības novērtējums sertifikācijas veidā neizraisītu tik karstas diskusijas, ja nebūtu FSTEC regulas par sertifikāciju sekojošā rindkopa: “ Atbilstības sertifikātu sertificētā informatizācijas objekta īpašniekam izsniedz atestācijas institūcija uz laiku, kurā nemainīgums nosacījumi informatizācijas objekta funkcionēšanai". Vai mūsdienu apstākļos ir iespējams nodrošināt informatizācijas objekta nemainīgumu?

Nemainība nozīmē, ka nevar atkāpties no pasē norādītajiem sākotnējiem datiem sertificētam informatizācijas objektam. Informācijas sistēmā nevar instalēt jaunu programmatūru; jūs nevarat atjaunināt programmatūru, lai novērstu ievainojamības; jūs nevarat mainīt neveiksmīgu aparatūras daļu; jūs nevarat mainīt programmatūras iestatījumus... Vai mūsdienu tīklā ir iespējams izpildīt šo nosacījumu? Protams ka nē. Senos laikos, kad datori bija greznība, atestācija attiecās uz iestādēm, kas apstrādāja valsts noslēpumus. Šādi objekti gadiem ilgi nav mainījušies un attiecīgi nebija nepieciešama resertifikācija.

Mūsdienās, kad mūsdienu IS komponentu skaits ir desmitos, nepaiet ne diena, kad IT nodaļa nesaņemtu jaunus ielāpus un atjauninājumus, kas novērš atklātās kļūdas un ievainojamības. Tomēr " ja tiek mainīti aizsargātās informācijas apstrādes nosacījumi un tehnoloģija, sertificēto objektu īpašniekiem ir pienākums par to paziņot sertifikācijas institūcijai, kas lemj par informācijas sniegšanas objekta aizsardzības sistēmas efektivitātes papildu pārbaudes nepieciešamību.". Un jebkura atkārtota sertifikācija ir nauda un laiks. Vai esat gatavs atkārtoti sertificēt savu sistēmu ik pēc sešiem mēnešiem (biežāk sertifikācijas iestāde nepiekritīs), tērējot tam daudz naudas (atkārtotas sertifikācijas izmaksas var sasniegt 30-50% no sākotnējās cenas, kas ir aptuveni vienāds ar 20-30 tūkstošiem rubļu par datoru)? Rezultātā jūs nonākat pie paradoksa. Vai arī ir derīga pase un nevar atjaunināt informācijas sistēmu, atstājot to neaizsargātā stāvoklī. Vai arī paaugstiniet IP drošības līmeni, vienlaikus zaudējot sertifikātu. Lielākā daļa komerciālo organizāciju izvēlēsies otro iespēju. Tad kāpēc mums vajadzīga sertifikācija tādā formā, kādā tā pieņemta Krievijā?

Bet es pat nesāku runāt par to, ka parasti nav iespējams sertificēt objektus, izmantojot bezvadu tehnoloģijas, viedtālruņus vai citas mobilās ierīces, jo. tas ir pretrunā ar regulatoru noteikto kontrolētās zonas paradigmu. Iedomājieties tirdzniecības vietu ar ievietotu bankas produktu lielveikals. Par kādu kontrolētu zonu šādā situācijā nevar būt ne runas, un tāpēc šādu objektu principā nav iespējams sertificēt.

Vai tas nozīmē, ka nevienam nav vajadzīga sertifikācija? Protams ka nē. Valsts iestādēm un uzņēmumiem, kas apstrādā valsts noslēpumus, šī ir vienīgā atbilstības novērtēšanas procedūra normatīvajām prasībām. Komercuzņēmumsšāds novērtējums arī ir vajadzīgs. Tikai tā saturam jābūt citam. Piemēram, ārējā audita vai pašnovērtējuma veidā saskaņā ar Krievijas Bankas standartiem (STO BR IBBS-1.2 vai RS BR IBBS-2.1).

Mūsdienu apstākļos perspektīvākais veids, kā pārbaudīt sasniegto automatizēto sistēmu (AS) funkcionēšanas kvalitāti un drošības līmeni, ir sertifikācijas procedūra. Lai gan daudzām komerciālām atomelektrostacijām sertifikācija ir brīvprātīga, ir diezgan liela atomelektrostaciju kategorija, kuru sertifikācija saskaņā ar spēkā esošajiem tiesību aktiem ir priekšnoteikums to darbības uzsākšanai vai turpināšanai. Tajos ietilpst AS, kas paredzēta valsts noslēpumu veidojošas informācijas apstrādei, videi bīstamu objektu pārvaldīšanai un slepenu sarunu vešanai.

Aleksandrs Astahovs, CISA,2000

Ievads

Krievijā sertifikāciju pēc būtības tikai sāk ieviest AS izveides un lietošanas praksē. Šajā sakarā ir virkne neatrisinātu problēmu, tostarp normatīvās dokumentācijas standartizācijas un pilnveidošanas problēmas, kas ietver sertifikācijā izmantoto dokumentu izstrādi, atlasi un pielāgošanu, kā arī tās ieviešanas procedūras, kritēriju un metodikas aprakstu. Šo problēmu risināšanā ir lietderīgi izmantot pasaules sabiedrības uzkrāto pieredzi.

Amerikas Savienotajās Valstīs 80. gadu sākumā tika izveidots vadlīniju dokumentu kopums sertifikācijas jomā. Šo dokumentu izpēte un pielāgošana Krievijas apstākļiem var ievērojami paātrināt iekšzemes normatīvā regulējuma izveides procesu. ASV federālajām iestādēm galvenais dokuments atestācijas jomā ir ĀS drošības atestācijas un akreditācijas veikšanas vadlīnijas (FIPS PUB 102).

Šis darbs ir mēģinājums izmantot pašmāju pieredzi un Amerikas normatīvo regulējumu, lai izveidotu vispārīgu ceļvedi atomelektrostaciju sertificēšanai informācijas drošības prasībām.

Izmantotā terminoloģija

AES sertifikācijas sistēma ir Vienotās informācijas drošības līdzekļu sertifikācijas (ISI) un informatizācijas objektu sertifikācijas atbilstoši informācijas drošības prasībām sistēmas sastāvdaļa, kuras organizēšanu veic Valsts tehniskā komisija pie Krievijas prezidenta. Federācija. Saskaņā ar mūsu valstī pieņemto koncepciju par informācijas aizsardzību pret nesankcionētu piekļuvi (UAS), šīs problēmas risināšanai ir divi salīdzinoši neatkarīgi virzieni: ar datortehnoloģiju (CVT) saistītais un ar AS saistītais virziens. Atšķirība starp šīm jomām slēpjas apstāklī, ka, izskatot SVT aizsardzības jautājumus, tie aprobežojas tikai ar sistēmas funkcionēšanas programmatūras un aparatūras aspektiem, savukārt AS aizsardzība ietver organizatorisku aizsardzības pasākumu apsvēršanu. , fiziskās piekļuves jautājumi, informācijas aizsardzība pret noplūdi pa tehniskiem kanāliem utt. SVT ir programmatūras un aparatūras rīki, kas izstrādāti un piegādāti tirgum kā elementi, no kuriem tiek veidota AS. Papildus informācijas drošības sistēmu komplektam AS ietver apkalpojošo personālu un organizatorisko pasākumu sistēmu, kas nodrošina tās darbību, kā arī telpas, lietotāju informāciju, papīra dokumentāciju u.c. Divu nosacīti atšķirīgu jomu esamība informācijas aizsardzībā ir iemesls, kāpēc atšķiras mūsu valstī lietotā un citās valstīs pieņemtā terminoloģija. Jēdziens "sertifikācija saskaņā ar drošības prasībām" Krievijā tiek lietots saistībā ar CVT, savukārt tas pats process attiecībā uz AU tiek saukts par atestāciju. Amerikas Savienotajās Valstīs abos gadījumos tiek lietots jēdziens "sertifikācija".

Saskaņā ar Amerikas vadlīnijām drošības prasību sertifikācija ir organizatorisko un tehnisko pasākumu kopums, ko veic neatkarīgi eksperti, lai pārbaudītu AU vai CVT ieviesto drošības mehānismu atbilstību noteiktam prasību kopumam. Drošības prasības tiek izmantotas kā kritērijs AS vai CVT drošības līmeņa novērtēšanai. Tos var formulēt valdības struktūru vadošajos dokumentos, departamentu iekšējos un starpresoru rīkojumos, valsts un starptautiskajos standartos, standartizētos aizsardzības profilos vai drošības uzdevumos, kā arī noteiktas organizācijas vai ĀS lietotāju prasību veidā.

Piezīme: Precizitātei šī raksta pārējā daļā attiecībā uz ĀS tiks lietots mūsu valstī pieņemtais termins - sertifikācija.

Visiem runātājiem ir noteikta kritiskuma pakāpe. Svarīgs jautājums ir līguma esamība, par kuru AS ir jāsertificē. Ir vēlams izveidot šādu AS prioritāru sarakstu.

Sertifikācijas procedūras apraksts

Plānošana

Iniciācija.
Analīze.
Resursu plānošana.
Sertifikācijas plāna dokumentācija.

Iniciācija

Uzsākšanas stadijā tiek noteikta vispārējā sertifikācijas shēma un saskaņota ar darba pasūtītāju. Shēma nosaka vispārējā kārtība darbu veikšana un nepieciešamo resursu izmaksas. Tiek izskatīti šādi jautājumi:

Informatizācijas objekta mērķis, veicamās funkcijas un struktūra; AS un tajā apstrādātās informācijas kritiskums; aptaujas robežas; vājās vietas un problēmzonas; aizsardzības līdzekļu kompleksa sastāvs un struktūra; dažāda tehniskā profila speciālistu piesaiste darbu veikšanai.
Darba laika izmaksu un resursu izmaksu aplēse; iepriekšējās riska analīzes un drošības audita rezultātu pieejamība, ko varētu izmantot, lai noteiktu sertifikācijas darba sarežģītību un apjomu.
Ekspertu grupas sastāvs; pienākumu sadale starp speciālistiem.
Faktori, kas ietekmē sertifikācijas pārbaužu kvalitāti un dziļumu.
Īpašu prasību esamība konkrētam objektam, kas būtu jāizmanto kā sertifikācijas kritērijs, papildus pieejamajai normatīvajai dokumentācijai.
Dokumentācijas pieejamība un pilnīgums, izmantoto drošības mehānismu dokumentācija.
Organizācijas drošības politikas pieejamība un dokumentācija.

Pieņemtā sertifikācijas shēma tiek sastādīta darba uzdevuma un darba grafika veidā.

Analīze

Analīze ir galvenā plānošanas procesa sastāvdaļa. Analīzes laikā tiek izskatīti šādi jautājumi:

Drošības prasības
Sākotnējie dati
Sertifikācijas un darbu sadales robežas
Fokusa jomas
Nepieciešamais detalizācijas līmenis

Drošības prasību analīze

Sākotnējo datu sastāva analīze

Sertifikācijas un darbu sadales robežu noteikšana

Fokusa jomas

Nepieciešamais detalizācijas līmenis

Vairumā gadījumu adekvātu rezultātu iegūšanai pietiek ar AS drošības mehānismu pamata analīzi, kas ļauj noteikt tās kopējo drošības līmeni un drošības prasību atbilstības pakāpi. Pamata analīze aprobežojas ar funkcionālo specifikāciju līmeni un sastāv no tādu komponentu klātbūtnes pārbaudes sistēmā, kas īsteno nepieciešamo drošības prasību kopumu.

Dažās situācijās, ņemot vērā apstrādājamās informācijas augsto kritiskumu vai ja drošības mehānismi atrodas zemākos abstrakcijas līmeņos un neredzami augstākos līmeņos, ir pamatota detalizēta analīze. Detalizētā analīzē tie neaprobežojas ar nepieciešamo drošības funkciju esamības konstatēšanu, bet arī novērtē to īstenošanas efektivitāti.

Resursu plānošana

Pamatojoties uz veikto analīzi, tiek veikta plānoto uzdevumu īstenošanai nepieciešamo resursu (pagaidu, cilvēku, tehnisko līdzekļu uc) sadale. Laika aprēķins ietver ne tikai laiku, kas nepieciešams uzdoto uzdevumu risināšanai, bet arī laiku, kas saistīts ar organizatorisko jautājumu risināšanu, kad tiek piešķirti atbilstoši resursi. Resursu piešķiršana tiek veikta, ņemot vērā iespējamās neplānotās situācijas, kas varētu ietekmēt cilvēkresursu un citu resursu pieejamību.

Sertifikācijas plāna dokumentācija

Pamatojoties uz veikto analīzi, tiek sagatavots un apstiprināts sertifikācijas plāns, kas kopumā ietver šādas sadaļas:

Kopsavilkums. Ietver visu nepieciešamo informāciju par darba kārtību.
Ievads. Apraksta AS struktūru un aptaujas robežas, apstrādājamās informācijas un citu resursu kritiskuma līmeni, sistēmas risināmās uzdevumu grupas un drošības politikas noteiktos ierobežojumus, vispārējo darba grafiku, k. kā arī PS drošības līmeņa novērtēšanas kritēriji, tai skaitā normatīvo dokumentu prasības un šai PS specifiskās prasības.
Atbildības sadale. Tiek noteikta ekspertu grupas un citu sertifikācijas procedūras dalībnieku organizatoriskā struktūra un pienākumi. Ir noteikti apkopes personāla pienākumi atbalstīt sertifikācijas procedūru.
Drošības prasības. Ir noteikts drošības prasību kopums, kas izmantojams kā atestācijas kritērijs. Papildus esošajam normatīvajam regulējumam parasti ir papildu prasības, ko nosaka lietotāji un organizācijas drošības politika un kas ir specifiskas pētāmajai AS. Universāla metode esošajiem draudiem atbilstošu drošības prasību noteikšanai ir riska analīze.
Novērtēšanas pieeja. Šajā sadaļā ir uzskaitīti uzdevumi, kas saistīti ar pamata analīzes veikšanu un, ja nepieciešams, detalizētu analīzi. Tiek veikta darba sadale starp sertifikācijas procedūras dalībniekiem. Uzdevumu sastāvs lielā mērā ir atkarīgs no tā, vai AES atrodas izstrādes vai ekspluatācijas stadijā. Tiek aplūkoti šādi jautājumi: īpašas uzmanības jomas, detalizācijas pakāpe, konkrēti uzdevumi un izmantotās pārbaudes metodes, informācijas avoti.
Darbu plāns-grafiks. Nosaka starpposma atskaites dokumentu un sākotnējo datu sagatavošanas laiku, sanāksmju laiku un darba posmu pabeigšanas termiņus. Starpposma ziņojumu laiks tiek noteikts, pamatojoties uz laika aprēķinu, kas veikts resursu plānošanas posmā.
Atbalsts. Uzskaita prasības administratīvā un tehniskā atbalsta veidiem sertifikācijas procedūrai no apkalpojošā personāla un organizācijas vadības puses.
Grāmatvedības dokumenti. Galvenie atskaites dokumenti ir pārskats par informatizācijas objekta sākotnējās pārbaudes rezultātiem, atestācijas testu veikšanas programma un metodika, pārbaudes protokols un slēdziens par pārbaudes rezultātiem.
Lietojumprogrammas. Pielikumos ir sniegta ziņojuma struktūra par sertifikācijas pārbaužu rezultātiem, kā arī informācija par testēšanā un analīzē izmantotajām metodēm un instrumentiem vai sniegtas saites uz šādas informācijas avotiem.

Informācijas vākšana

Liela daļa ar novērtēšanu saistītā darba (ieskaitot plānošanas fāzi) ir informācijas vākšana. Apskatīsim trīs galvenās informācijas vākšanas metodes:

Informācijas iegūšana no apkalpojošā personāla un AS izstrādātājiem
Studē dokumentāciju
Aptauju veikšana

Visefektīvākā informācijas vākšanas metode par AES ir metode, kurā AES attīstošās vai ekspluatējošās organizācijas vadība izvirza uzdevumu tās izstrādātājiem vai apkopes personālam sagatavot šo informāciju un iesniegt ekspertu grupai.

Sertifikācijas pārbaudēm jāsagatavo šādi dokumenti:

Dokumenti, kas satur drošības prasības

Tipisks vadlīniju dokumentu kopums, ko izmanto atomelektrostaciju sertificēšanai mūsu valstī, ietver, bet ne tikai, šādus dokumentus:

Krievijas Federācijas 1995.gada 20.februāra likums Nr.24-F3 "Par informāciju, informatizāciju un informācijas aizsardzību";
Krievijas Federācijas 1996.gada 4.jūlija likums Nr.85-F3 "Par dalību starptautiskajā informācijas apmaiņā";
Krievijas Federācijas prezidenta 1997.gada 6.marta dekrēts Nr.188 "Par konfidenciālās informācijas saraksta apstiprināšanu";
«Automatizētās sistēmas. Aizsardzība pret nesankcionētu piekļuvi informācijai. AS klasifikācija un informācijas drošības prasības”, Krievijas Valsts tehniskā komisija, 1997;
«Datortehnikas līdzekļi. Aizsardzība pret nesankcionētu piekļuvi informācijai. Drošības rādītāji pret nesankcionētu piekļuvi informācijai”, Krievijas Valsts tehniskā komisija, 1992.

No uzskaitītajiem normatīvajiem dokumentiem sertifikācijai īpaši svarīgi ir pēdējie divi.

pirmajā grupā ir tikai viena septītā klase;
otro grupu raksturo diskrecionāra aizsardzība, un tajā ir sestā un piektā klase;
trešo grupu raksturo obligāta aizsardzība, un tajā ir ceturtā, trešā un otrā klase;
ceturtajai grupai raksturīga pārbaudīta aizsardzība, un tajā ir tikai pirmā klase.

dažādu konfidencialitātes līmeņu informācijas klātbūtne AS;
AS piekļuves subjektu pilnvaru līmenis piekļūt konfidenciālai informācijai;
datu apstrādes režīms AS - kolektīvs vai individuāls.

Riska analīzes ziņojums

Lietojumprogrammas informācijas plūsmas diagrammas

AS drošības mehānismu apraksts

Dokumenti, kas satur AES drošības mehānismu aprakstu, kas saņemti no AES attīstītājiem vai apkalpojošā personāla, ir jāatbalsta, izpētot dokumentāciju un veicot aptaujas.

Pamata analīze

Pamata analīzes laikā tiek atrisināti šādi galvenie uzdevumi:

Drošības prasību atbilstības novērtējums.
Drošības mehānismu atbilstības novērtējums.
Drošības mehānismu esamības pārbaude.
Pārskats par drošības mehānismu ieviešanas metodoloģiju.

Drošības prasību atbilstības novērtējums

Sākotnējās analīzes fāzē esošās drošības prasības ir kritiski jāpārbauda, lai noteiktu to piemērotību validācijas mērķiem un atbilstību lietotāju vēlmēm, organizācijas drošības politikai un juridiskajiem un normatīvajiem regulējumiem. Galvenā prasību daļa var būt ietverta PS izveides darba uzdevumā.

Ja drošības prasības nav iepriekš noteiktas un dokumentētas, tad tās ir jāformulē un jādokumentē riska analīzes procesā.

Gan nosakot, gan novērtējot drošības prasību atbilstību, tiek ņemtas vērā divas prasību klases: vispārīgās prasības un pētāmajai AES specifiskās prasības. Vispārējās prasības tiek formulētas, pamatojoties uz federālajiem likumiem, valsts institūciju reglamentējošiem dokumentiem, standartiem un organizācijas drošības politiku. Īpašas prasības tiek formulētas riska analīzes procesā.

Risku analīzes un vadības darbības

Risku nosaka kaitējuma nodarīšanas varbūtība un AES resursiem nodarītā kaitējuma apjoms drošības apdraudējuma gadījumā.

Riska analīzes mērķis ir identificēt esošos riskus un novērtēt to lielumu, t.i., noteikt tos kvantitatīvi. To var iedalīt vairākos secīgos posmos:

Galveno AS resursu identificēšana.
Noteiktu resursu nozīmes noteikšana.
Esošo drošības apdraudējumu un ievainojamību identificēšana, kas ļauj īstenot draudus.
Ar drošības apdraudējumu ieviešanu saistīto risku aprēķins.

AS resursus var iedalīt trīs kategorijās:

Informatīvie resursi.
Programmatūra.
Tehniskie līdzekļi.

Resursa nozīmi (vai izmaksas) nosaka kaitējuma apjoms, kas nodarīts, ja tiek pārkāpta šī resursa konfidencialitāte, integritāte vai pieejamība. Resursu izmaksu aplēses gaitā katrai resursu kategorijai tiek noteikts iespējamo zaudējumu apmērs:

Dati ir izpausti, mainīti, dzēsti vai padarīti nepieejami.
Iekārta ir bojāta vai iznīcināta.
Programmatūras integritāte ir pārkāpta.

Tipiski drošības apdraudējumi ietver:

lokāli un attālināti uzbrukumi AS resursiem;
dabas katastrofas;
personāla kļūdas;
kļūmes AU darbībā, ko izraisa programmatūras vai aparatūras darbības traucējumi.

Draudu līmenis attiecas uz tā īstenošanas varbūtību.

Neaizsargātības novērtējums ietver drošības apdraudējumu veiksmīgas ieviešanas iespējamības noteikšanu. Veiksmīga apdraudējuma īstenošana nozīmē kaitējumu ĀS resursiem. AS ievainojamību klātbūtne ir saistīta ar aizsardzības nepilnībām.

Tādējādi kaitējuma nodarīšanas varbūtību nosaka apdraudējuma īstenošanas varbūtība un ievainojamības lielums.

Riska lielums tiek noteikts, pamatojoties uz resursa izmaksām, apdraudējuma līmeni un ievainojamības apmēru. Pieaugot resursa izmaksām, apdraudējuma līmenim un ievainojamības lielumam, palielinās arī riska apjoms. Pamatojoties uz risku lieluma novērtējumu, tiek noteiktas drošības prasības.

Riska vadības uzdevums ietver tādu pretpasākumu izvēli un izvēles pamatojumu, kas samazina risku apjomu līdz pieņemamam līmenim. Riska vadība ietver pretpasākumu īstenošanas izmaksu aplēsi, kurām jābūt mazākām par iespējamā kaitējuma apjomu. Atšķirībai starp pretpasākumu īstenošanas izmaksām un iespējamā kaitējuma apmēru jābūt lielākai, jo mazāka ir bojājumu nodarīšanas iespējamība.

Pretpasākumi var palīdzēt samazināt risku apmēru dažādos veidos:

samazināt drošības apdraudējumu iespējamību;
ievainojamību novēršana vai to apjoma samazināšana;
iespējamo bojājumu apjoma samazināšana;
uzbrukumu un citu drošības pārkāpumu atklāšana;
veicināt bojāto AES resursu atgūšanu.

Veicot riska analīzi un pārvaldību, Jet Infosystems izmanto CRAMM metodoloģiju un saistītos rīkus. CRAMM metodi (Apvienotās Karalistes valdības riska analīzes un pārvaldības metodi) valdība un komerciālās organizācijas Apvienotajā Karalistē izmanto kopš 1985. gada. Šajā laikā viņš ieguva popularitāti visā pasaulē.

CRAMM ietver visas procedūras sadalīšanu trīs secīgos posmos. Pirmā posma uzdevums ir atbildēt uz jautājumu: “Vai pietiek ar sistēmas aizsardzību, izmantojot pamata līmeņa rīkus, kas ievieš tradicionālās drošības funkcijas, vai arī nepieciešams veikt detalizētāku drošības analīzi?”. Otrajā posmā tiek identificēti riski un novērtēts to apjoms. Trešajā posmā tiek izlemts jautājums par atbilstošu pretpasākumu izvēli.

CRAMM metodoloģija katram posmam nosaka sākotnējo datu kopumu, darbību secību, anketas aptauju veikšanai, kontrolsarakstus un izejas dokumentu (atskaišu) kopumu.

Vienoti informācijas tehnoloģiju drošības novērtēšanas kritēriji

Šobrīd AS sertifikācija ir balstīta uz informācijas tehnoloģiju drošības novērtēšanas vienotajiem kritērijiem. "Vienotie kritēriji" ir normatīvs dokuments, kas nosaka drošības prasības, uz kuru pamata tiek veikts IT produktu drošības līmeņa novērtējums, vienots jēdzienu kopums, datu struktūras un valoda jautājumu un apgalvojumu formulēšanai attiecībā uz informācijas tehnoloģiju produktu drošību. IT produktu drošība.

Starptautiskā standartizācijas organizācija (ISO) drošības novērtēšanas kritērijus sāka izstrādāt 1990. gadā. Pēc tam Kanādas (CTCPEC), Eiropas (ITSEC) un Amerikas (FC un TCSEC) drošības novērtēšanas kritēriju autori 1993. gadā apvienoja savus centienus un sāka izstrādāt Common Criteria projektu. Projekta mērķis bija novērst konceptuālās un tehniskās atšķirības starp esošajiem kritērijiem. 1999. gada 1. decembrī ISO kā starptautisko standartu ISO 15408 pieņēma kopējo kritēriju versiju 2.1.

Vienotie kritēriji definē vairākus galvenos jēdzienus, kas ir IT produktu drošības novērtēšanas koncepcijas pamatā. To vidū ir aizsardzības profila (PP — aizsardzības profils), drošības uzdevumu (ST — drošības mērķis) un novērtēšanas objekta (TOE — novērtējuma mērķis) koncepcija. Jebkurš CVT vai AS var darboties kā novērtēšanas objekts.

PP ir stingri strukturēts dokuments, kas satur drošības prasības noteiktai programmatūras un aparatūras klasei. Papildus drošības prasībām PP apraksta dažādus drošības apdraudējumus un aizsardzības mērķus, kā arī sniedz pamatojumu atbilstībai starp drošības apdraudējumiem, aizsardzības mērķiem un drošības prasībām.

ST ir ļoti strukturēts dokuments, kas papildus drošības prasībām nosaka arī konkrēta IT produkta drošības mehānismu funkcionālo specifikāciju. ST ietvertās drošības prasības ir noteiktas, atsaucoties uz attiecīgajiem drošības profiliem un kopējo kritēriju prasībām. IT produktam specifiskās prasības tiek formulētas atsevišķi un iekļautas arī ST. Turklāt ST satur drošības prasību un TOE funkcionālās specifikācijas atbilstības pamatojumu.

Vienotie kritēriji piedāvā divas drošības prasību kategorijas: funkcionālās prasības un prasības drošības mehānismu atbilstībai (nodrošināšanai). Funkcionālās prasības nosaka TOE funkciju kopumu, kas nodrošina tā drošību. Atbilstība ir TOE īpašība, kas dod zināmu pārliecību, ka TOE drošības mehānismi ir pietiekami efektīvi un pareizi ieviesti. Secinājumi par TOE atbilstību tiek izdarīti, pamatojoties uz zināšanām par TOE specifikāciju, ieviešanu un darbību. Lai izteiktu funkcionālās prasības un atbilstības prasības "Vienotajos kritērijos", tiek izmantota vienota terminoloģija un stils.

Sertifikācija ir sarežģīts, ilgstošs un ļoti resursietilpīgs process. Tā kā nav iespējams veikt formālu verifikāciju vai visas AS izsmeļošu testēšanu, mēs varam runāt tikai par noteikta līmeņa sertifikācijas testu rezultātu adekvātuma (noteiktības) sasniegšanu. Vienotie kritēriji ievieš vienotu novērtējuma atbilstības līmeņu skalu (EAL – Evaluation Assurance Level). Katru EAL pārstāv noteikts prasību kopums "Vienoto kritēriju" atbilstībai.

Tiek ieviesti septiņi novērtējuma atbilstības līmeņi: EAL1, EAL2, ..., EAL7. Šie līmeņi ir sakārtoti augošā secībā. Minimālais atbilstības līmenis — EAL1 (funkcionālā pārbaude) nodrošina minimālu pietiekamības pārliecību, veicot drošības mehānisma analīzi, izmantojot funkciju specifikācijas un TOE saskarni, kam seko katra drošības mehānisma neatkarīga melnās kastes pārbaude. EAL1 ir izstrādāts, lai ar minimālām izmaksām atklātu tikai visredzamākās drošības ievainojamības. To piemēro, ja nav būtisku drošības risku. Maksimālais atbilstības līmenis - EAL7 (formālā dizaina pārbaude un testēšana) raksturojas ar formālu modeļa aizsardzības rīku izmantošanu, funkcionālo specifikāciju formālu uzrādīšanu, zemāka līmeņa dizaina daļēji formālu prezentāciju un formālu vai daļēji formālu atbilstības demonstrāciju. starp tām, izstrādājot drošības rīku komplektu. Analīzes pavada neatkarīga drošības mehānismu pārbaude, izmantojot "baltās kastes" metodi. EAL7 līmenis atspoguļo AS novērtējuma atbilstības līmeņu augšējo robežu, ko var reāli sasniegt praksē. Tās izmantošana ir uzskatāma tikai kā eksperimentāla vienkāršas un ļoti kritiskas AS sertifikācijai.

Saskaņā ar "Vienotajiem kritērijiem" TOE drošības novērtējuma posmi tiek noteikti, pamatojoties uz dažādi līmeņi reprezentācijas abstrakcijas: drošības draudi -> aizsardzības uzdevumi -> drošības prasības -> specifikācija -> ieviešana.

Ir divi galvenie novērtēšanas posmi:

Sākotnējo aizsardzības profilu novērtējums.
Novērtēšanas objekta analīze.

Bāzes aizsardzības profilu novērtējums ietver drošības apdraudējumu, aizsardzības uzdevumu, drošības prasību analīzi un to savstarpējās atbilstības noteikšanu.

Novērtēšanas priekšmeta novērtējums tiek veikts divos posmos: drošības mērķa novērtējums un TOE novērtējums.

Drošības mērķa novērtējuma mērķis ir parādīt, ka drošības mehānismu specifikācija (formāls, daļēji formāls vai neformāls apraksts) pilnībā atbilst drošības profila prasībām un ir piemērota izmantošanai par pamatu TOE novērtējumam. ;

TOE novērtējums sastāv no pārbaudes, vai TOE ieviešana atbilst tā specifikācijai, kas ietverta drošības mērķī.

Drošības mehānismu analīze

Drošības mehānismu analīzes metodoloģija ir atkarīga no tā, vai ir skaidri definēts drošības prasību kopums, vai arī tā viena vai otra iemesla dēļ trūkst.

Kad ir noteiktas drošības prasības

Kad drošības prasības ir definētas un dokumentētas, pamata analīzes posma galvenais uzdevums ir pārbaudīt AS ieviesto drošības mehānismu atbilstību šīm prasībām. Pārbaudot AU, tiek izmantoti kontrolsaraksti, kuros ir, piemēram, šādi jautājumi: Vai tiek ņemti vērā atsevišķi lietotāji? Vai subjekti un objekti ir identificēti un tiem ir piešķirtas piekļuves etiķetes? Vai tiek nodrošināts tikai lasīšanas datu piekļuves režīms? Vai visi faila piekļuves mēģinājumi ir reģistrēti? Vai ir plāni atveseļošanai un reakcijai uz UA mēģinājumiem? un tā tālāk.

Drošības prasības var formulēt ar dažādas pakāpes detaļa. Dažos gadījumos prasības nosaka tikai vajadzību pēc kāda veida drošības mehānisma, piemēram, attālās lietotāja autentifikācijas. Citos gadījumos prasības var noteikt vajadzību pēc noteiktas autentifikācijas shēmas. Abās situācijās tiek pārbaudīta atbilstošu drošības mehānismu esamība un to atbilstība esošajiem draudiem.

Ja drošības prasības nav noteiktas

Ir situācijas, kad drošības prasības nevar skaidri definēt. Piemēram, ja ir nepieciešams aizsargāt uzņēmuma tīkla resursus no tīkla uzbrukumiem, ir gandrīz neiespējami identificēt visus iespējamos uzbrukumus, no kuriem ir jāaizsargā. Šādās situācijās vēlams izmantot AS drošības mehānismu aktīvās pārbaudes metodes. Šīs metodes ir balstītas uz drošības mehānismu efektivitātes novērtēšanu pret noteiktiem draudu veidiem. Piemēram, aktīva piekļuves kontroles mehānismu pārbaude tiek veikta, veicot mēģinājumus iekļūt sistēmā (izmantojot automātiskos rīkus vai manuāli). Lai meklētu zināmās AS drošības ievainojamības, tiek izmantoti dažādi automatizēti drošības analīzes rīki, no kuriem visizplatītākie ir tīkla skeneri.

Šajā situācijā ir piemērotas arī lielākā daļa drošības prasību novērtēšanas metožu. Tomēr bez skaidri formulētām prasībām ir grūti noteikt drošības mehānismu atbilstību.

Detalizācijas līmenis

Svarīgs jautājums drošības mehānismu analīzē ir detalizācijas līmeņa izvēle. Kopumā pamata analīze jāveic funkcionālā līmenī. Funkcionālais slānis ir abstrakcijas līmenis, ko attēlo AS funkcijas specifikācijas. Tas attiecas gan uz iekšējiem drošības mehānismiem, gan uz ārējiem (fiziskiem un administratīviem nodrošinājumiem), lai gan pēdējie parasti nav definēti funkcionālajās specifikācijās.

Daudzām AS funkcionālās specifikācijas vienkārši nepastāv vai ir nepilnīgas. Tāpēc, lai noteiktu atomelektrostacijas funkcionālās specifikācijas, ekspertiem ir jāizpēta tās darbības principi, projektēšana un ekspluatācijas dokumentācija.

Drošības mehānismu esamības pārbaude

Pamata analīzes stadijā tiek pārbaudīta drošības mehānismu esamība, ko raksturo ĀS funkcionālās specifikācijas. Faktu par lielāko daļu fizisko un administratīvo aizsardzības pasākumu ir iespējams konstatēt ar vienkāršu vizuālu pārbaudi un atbilstošas organizatoriskās un administratīvās dokumentācijas pieejamību. Testēšana ir nepieciešama, lai pārbaudītu programmatūras vai aparatūras ieviesto drošības mehānismu esamību. Pārbaudot, netiek izvirzīts uzdevums noteikt aizsargmehānismu darbības kvalitāti, jo tas neietilpst pamata analīzes ietvaros. Savukārt, ja ir nopietnas nepilnības, kas liek apšaubīt AES aizsardzības instrumentu kopuma kopējo efektivitāti, jāņem vērā aizsardzības mehānismu ieviešanas kvalitāte. Parasti ar melnās kastes testēšanu pietiek, lai pārbaudītu drošības mehānismu esamību.

Pārskats par drošības mehānismu ieviešanas metodoloģiju

Drošības mehānismu esamības pārbaude negarantē šo mehānismu darbības efektivitāti. Labākais veids, kā iegūt noteiktas garantijas, neiedziļinoties testēšanā un detalizētās analīzēs, ir aplūkot AS izstrādes metodoloģiju. Metodoloģijas izskatīšana tiek veikta neatkarīgi no tā, vai AES ir izstrādes vai ekspluatācijas stadijā.

Metodoloģijas pārskatīšana ļauj spriest par drošības mehānismu ieviešanas uzticamības pakāpi un nepilnību iespējamību ĀS aizsardzībā. Izmantoto projektēšanas un izstrādes metožu nepilnības rada kļūdas AS ieviešanā. Ja metodoloģijas analīzes rezultātā tiek konstatēts, ka ieviešanas kvalitātei nevar uzticēties, tad parasti ir nepieciešama detalizēta analīze, lai meklētu konkrētas kļūdas AS ieviešanā.

Amerikāņu avoti, kas veltīti informācijas drošības rīku izstrādes metodoloģijai, satur daudzus valsts standartus, kas nosaka procedūru kritisko AS un programmatūras drošības izstrādei un analīzei.

Mūsu valstī Krievijas Federācijas Valsts tehniskā komisija pieņēma RD "Pagaidu noteikumi par programmatūras un aparatūras izstrādes, ražošanas un darbības organizēšanu informācijas aizsardzībai pret nesankcionētu piekļuvi AS un SVT", kas nosaka šādus galvenos. problēmas:

organizatoriskā struktūra un darba veikšanas kārtība, lai aizsargātu informāciju no nesankcionētas piekļuves un mijiedarbības vienlaikus valsts līmenī;
valsts noteikumu, standartu, vadlīniju un prasību sistēma šajā jautājumā;
drošas CVT, tostarp programmatūras un aparatūras (jo īpaši kriptogrāfijas) rīku un sistēmu izstrādes un pieņemšanas procedūra informācijas aizsardzībai pret nesankcionētu piekļuvi;
šo instrumentu un sistēmu pieņemšanas kārtību pirms nodošanas ekspluatācijā kā daļu no AES, to ekspluatācijas kārtību un šo instrumentu un sistēmu darbības uzraudzību ekspluatācijas laikā.

Metodoloģijas pārskatīšanas laikā pastiprināta uzmanība tiek pievērsta šādiem jautājumiem:

Projektēšanas un ekspluatācijas dokumentācijas pilnība un kvalitāte.
Skaidri definētu prasību klātbūtne ĀS projektēšanai.
Izmantotās projektu vadības metodes. Izstrādātājiem ir izstrādāta metodika AS drošības mehānismu analīzei un testēšanai.
AS izveides procesā izmantotās projektēšanas metodes. Arhitektūras drošības pamatprincipu uzskaite. Izmantotie programmēšanas standarti un tehnoloģijas.
AS izstrādātāju informētība informācijas drošības jautājumos. Drošības prasību ievērošana projektēšanas un ieviešanas posmos.

Detalizēta analīze

Daudzos gadījumos sertifikācijai nepietiek ar vienu pamata analīzi. Kā piemērus var minēt gadījumus, kuros (1) sākotnējās analīzes laikā tiek identificētas problēmas, kurām nepieciešama turpmāka izpēte; (2) AS ir augsta kritiskuma pakāpe; vai (3) pamatā esošie drošības mehānismi ir iebūvēti iekšējās funkcijās, kas nav redzamas funkcionālā līmenī. Šādos gadījumos ir nepieciešama detalizēta analīze.

Detalizētā analīze koncentrējas uz drošības mehānismu ieviešanas efektivitātes izvērtēšanu. AS tiek pētīta no trim viedokļiem:

Drošības mehānismu pareizas darbības novērtējums.
Veiktspējas raksturlielumu, piemēram, uzticamības un veiktspējas, novērtējums.
Izturības pret uzlaušanas mēģinājumiem novērtējums.

Detalizētajā analīzē tiek izmantotas dažādas pieejas, kuru izvēli drīzāk nosaka esošie draudi un to sekas vispārīgās īpašības un AS kritiskums. Piemēram, ja galvenais mērķis ir nodrošināt sensitīvas informācijas konfidencialitāti, galvenā uzmanība tiek pievērsta piekļuves kontrolei šai informācijai un tās satura slēgšanai, izmantojot kriptogrāfijas līdzekļus. Organizācijām, kas sniedz lietotājiem svarīgus pakalpojumus, galvenokārt jākoncentrējas uz šo pakalpojumu pieejamību. Ja aplikācijas galvenais uzdevums ir klientu kontu apstrāde, tad īpaša uzmanība jāpievērš datu integritātes kontroles mehānismiem.

Detalizētas analīzes pieejas

Pārbaudīt, vai drošības mehānismi darbojas pareizi

Pārbaudot drošības mehānismu pareizu darbību, uzdevums ir izvērtēt, vai aizsardzības mehānismi pilda tiem uzliktās funkcijas. Visbiežāk šīs problēmas risināšanai tiek izmantotas dažādas pārbaudes metodes.

Pārbaudot aizsargmehānismus, tiek pētīti šādi jautājumi:

Drošības mehānismu darbība.
Pārbaudiet, vai nederīgie funkciju parametri tiek apstrādāti pareizi.
Izņēmuma situāciju risināšana.
Pārraugiet drošības mehānismus un reģistrējiet drošības notikumus.
Pārbaudiet, vai administratīvie rīki darbojas pareizi.

AS drošības mehānismiem jābūt atbilstoši aizsargātiem gan no lietotāja kļūdām, gan iekšējām kļūdām. Tāpēc testēšanas laikā īpaša uzmanība jāpievērš sistēmas saskarnēm, caur kurām var izplatīties šīs kļūdas:

personīgi (operatora ziņojumi);
cilvēks-sistēma (komandas, procedūras);
sistēma-sistēma (sistēmas iekšējās funkcijas);
process-sistēma (sistēmas izsaukumi);
process-process (starpprocesoru komunikācija).

Šeit var izmantot lielāko daļu zināmo testēšanas metožu. Testēšana var būt vai nu ārēja (melnā kaste) vai iekšēja (balta kaste, atsevišķu programmatūras moduļu un moduļu saišu testēšana), atkarībā no pārbaudāmā interfeisa veida. Testēšanu var veikt recenzentu, izstrādātāju, lietotāju komanda vai jaukta komanda.

Ja iekšējo saskarņu testēšana tiek veikta neatkarīgi no AS izstrādātāja, tā var būt saistīta ar noteiktām tehniskām problēmām. Iespējams, jums būs jāraksta fiktīvas rutīnas (manekens), rīki testa datu ģenerēšanai un apkopošanai, kā arī daudz atbalsta programmatūras. Jums var būt nepieciešams programmatūras izstrādes rīku komplekts, kas īpaši pielāgots noteiktai OS vai noteiktai AS. Ideāls risinājums ir izmantot līdzekļus, ar kuriem AS tika sākotnēji izstrādāta.

Papildus testēšanai ir arī citas analīzes metodes, ko var izmantot, lai pārbaudītu, vai drošības mehānismi darbojas pareizi.

Formālo pārbaudi var izmantot kā vienu no detalizētas analīzes metodēm. Formālā pārbaude ļauj matemātiski precīzi pierādīt AS drošības funkciju realizācijas programmēšanas valodā atbilstību tās formālajai specifikācijai.

Ļoti daudzsološi šķiet izmantot automatizētas sistēmas programmu pareizības pierādīšanai. Līdz šim jau ir vairāk nekā divdesmit šādu sistēmu. Katra no šīm sistēmām tika izstrādāta, lai pārbaudītu plašu programmu klasi noteiktā jomā. Tie ir balstīti uz dažādu matemātisku aparātu un dažādiem darbības principiem. Tomēr ir iespējams izdalīt komponentus, kas nepieciešami jebkurai šādai sistēmai:

Formālās specifikācijas valoda.
Šī valoda apraksta ievades un izvades datus (datu struktūras, abstraktus datu tipus).
Programmēšanas valoda.
Programma ir uzrakstīta šajā valodā. Lai šī programma būtu pareiza, ir formāli jādefinē šīs valodas semantika.
Parsēšanas bloks.
Šī bloka ievade jau ir anotēta programma, t.i., programma programmēšanas valodā kopā ar tās specifikāciju specifikācijas valodā. Parsēšanas bloks veic sintaktisko vadību un pārvērš programmu īpašā formā, kas ir ērta turpmākai apstrādei.
Pareizības nosacījumu ģenerators (teorēmu ģenerators).
Atgriež pārbaudes bloka ievades pareizības nosacījumu sarakstu. Ievieš atpakaļsekošanas un uz priekšu izsekošanas algoritmus.
Teorēmu pierādīšanas bloks.
Ir visgrūtākais. Tas sniedz vienkāršotu pareizības nosacījumu sarakstu izvades analīzes bloka ievadei, starp kuriem ir izcelti pārbaudītie nosacījumi. Pierādījumu blokam ir papildu ievade, kurai informācija tiek piegādāta no lietotāja aksiomu veidā.
Izejas datu analīzes bloks.
Kopā ar lietotāju veic pareizības nosacījumu saraksta analīzi. Ja visi nosacījumi ir pierādīti, tad ievades programma ir daļēji pareiza.

Piemēram, FDM sistēma ļauj lietotājam uzrakstīt formāla modeļa specifikāciju (tostarp invariantus un drošības ierobežojumus) Ina Jo specifikācijas valodā, un teorēmu ģenerators automātiski ģenerē teorēmas (pareizības kritērijs), kas ir jāpierāda, lai nodrošinātu, ka augstākā līmeņa specifikācija atbilst modelim. Teorēmu ģenerators arī automātiski ģenerē teorēmas, kuras ir jāpierāda, lai nodrošinātu, ka katra zemākā līmeņa specifikācija izriet no augstāka līmeņa specifikācijas.

AFFIRM sistēma pierāda Pascal programmu pareizību, kas paplašināta ar abstraktiem datu tipiem. Sistēmas galvenā iezīme ir datu bāzes un pierādīšanas moduļa izmantošana vienādojumu teorijās, kuru pamatā ir Knuta-Bendiksa algoritms. Modulis tiek izmantots, lai pierādītu abstraktu datu tipu īpašības, kas aksiomatizētas ar vienādības palīdzību. Datu bāze tiek izmantota, lai saglabātu abstraktu datu tipu aksiomas un īpašības, kas izveidotas, izmantojot kanoniskās terminu aizstāšanas sistēmas, kā arī lai saglabātu starpposma apgalvojumus, kas rodas labsajūtas apstākļu pierādīšanas procesā. AFFIRM sistēma ietver arī teorēmu pierādīšanas moduli dialoga procesā ar lietotāju, kurš izvēlas pierādīšanas stratēģiju. Šis modulis ir balstīts uz universālo teorēmu pierādīšanas metodi (dabiskā secinājuma metode, ieskaitot indukcijas likumu) un darba gaitā izmanto informāciju no datu bāzes. Cikla invariantu sintezēšanas uzdevums šajā sistēmā tiek uzticēts lietotājam.

Ir veiksmīgi piemēri automatizētu sistēmu izmantošanai drošības mehānismu pārbaudes programmu pareizības pierādīšanai. Piemēram, drošā projektā operētājsistēma UNIX, kas ieviests Kalifornijas Universitātē Losandželosā (UCLA), tika izmantotas formālas specifikācijas un pārbaudes metodes, lai pārbaudītu datu aizsardzības mehānismus no nesankcionētas piekļuves. Šajā projektā, lai pierādītu programmas koda pareizību, tika izmantots AFFIRM sistēmas Pascal valodas pareizības nosacījumu ģenerators. Projektēšanas līmeņa pareizības nosacījumu pierādījumi tika veikti manuāli, taču daļai no šiem pierādījumiem pārbaudīta sistēma AFFIRM.

Formālās metodes to darbietilpības, augsto izmaksu un nepietiekamo zināšanu dēļ vēl nav kļuvušas plaši izplatītas. Taču tos izmanto ieroču kontroles mehānismu, kosmosa kuģu un citu augsta riska atomelektrostaciju izstrādē un pārbaudē. Šīm metodēm nākotnē būs lielāka nozīme sertifikācijā.

Darbības novērtējums

Drošības mehānismu efektivitāti nosaka ne tikai to darbības pareizība. Daudzus darbības rādītājus var klasificēt vispārējā kategorijā, ko sauc par “veiktspēju”, kas ir otrā izpētes joma detalizētā analīzē. Veiktspējas rādītāji ietver: uzticamību, kļūdu toleranci, atjaunojamību, reakcijas laiku un veiktspēju. Tie ir piemērojami gan atsevišķiem mehānismiem, gan ĀS kopumā.

Testēšana ir labākais veids veiktspējas novērtējumi un specifiski testu veidi, lai novērtētu katru darbības rādītāju. Parasti izmantotā metode ir maksimālās slodzes testēšana. Maksimālās slodzes izveidošanai ir nepieciešams izveidot daudz pakalpojumu pieprasījumu, izmantot lielu skaitu fona procesu un izmantot maksimālo sistēmas resursu daudzumu. Šī metode ir piemērota arī drošības mehānismu pārbaudei, jo maksimālās slodzes darbības laikā bieži mijas ar normālu darbību.

Maksimālā pārbaude tiek izmantota arī vairāk virziena veidā, mēģinot izsmelt noteiktu sistēmas resursu, piemēram, buferu, rindu, tabulu, portu utt., izmantošanas kvotas.

Izturīgs pret uzlaušanas mēģinājumiem

Izmantojot šo pieeju, uzdevums ir novērtēt AS drošības mehānismu stabilitāti pret mēģinājumiem tos uzlauzt vai apiet. Izturība ir AS spēja bloķēt iespējamos uzbrukumus un ātri reaģēt uz tiem. Kriptanalīzes metodes, piemēram, var tikt izmantotas, lai izjauktu konkrētu drošības mehānismu, šifrēšanu. Paroļu pārtvērēja izveide un izmantošana ir drošības mehānismu apiešanas piemērs.

Izmantotās AES stabilitātes analīzes metodes nosaka ielaušanās modelis. Saskaņā ar ielaušanās modeli visus potenciālos iebrucējus parasti iedala divās kategorijās: ārējā un iekšējā. Par iekšēju pārkāpēju tiek uzskatīts subjekts, kuram AS ietvaros ir pieejams darbs ar standarta AS un SVT iekārtām. Pārkāpēji tiek klasificēti pēc spēju līmeņa, ko tiem nodrošina regulāri AS un SVT līdzekļi. Ir četri šo iespēju līmeņi. Klasifikācija ir hierarhiska, t.i. katrs nākamais līmenis ietver iepriekšējā līmeņa funkcionalitāti.

Pirmais līmenis (lietotāja līmenis) nosaka visvairāk zems līmenis dialoga vadīšanas iespējas AS - uzdevumu (programmu) palaišana no fiksēta komplekta, kas īsteno iepriekš noteiktas funkcijas informācijas apstrādei.

Otro līmeni (piemērotā programmētāja līmeni) nosaka iespēja izveidot un palaist savas programmas ar jaunām informācijas apstrādes funkcijām.

Trešo līmeni (administratora līmeni) nosaka spēja kontrolēt AS darbību, t.i. ietekme uz sistēmas pamata programmatūru, tās aprīkojuma sastāvu un konfigurāciju. Ceturto līmeni (sistēmas programmētāja vai AS izstrādātāja līmeni) nosaka viss AS tehnisko līdzekļu projektēšanā, ieviešanā un remontā iesaistīto personu spēju apjoms līdz savu tehnisko līdzekļu iekļaušanai ar jaunu informāciju. apstrādes funkcijas CVT.

Ārējos iebrucējus var iedalīt arī līmeņos pēc viņu spēju līmeņa.

Savā līmenī pārkāpējs ir speciālists augstākā kvalifikācija, zina visu par ĀS un jo īpaši par sistēmu un tās aizsardzības līdzekļiem.

Izturības pret uzlaušanas mēģinājumiem jēdziens attiecas ne tikai uz uzbrukumiem datiem, bet arī uz uzbrukumiem, kas vērsti pret AS fiziskajiem un programmatūras resursiem. Novērtēt izturību pret manipulācijas mēģinājumiem var būt tehniski visgrūtākais uzdevums, ja to detalizēti analizē. Šī analīzes daļa tiek veikta, lai paaugstinātu pārliecības līmeni, kā arī atrastu un novērstu nepilnības ĀS aizsardzībā. Tomēr pieredze liecina par metodes "atrast un salabot" neatbilstību drošības nodrošināšanai. Šeit ir trīs uzdevumi:

AS pretestības uzlaušanas mēģinājumiem novērtējums.
Ievainojamību lieluma noteikšana (kādas grūtības ir saistītas ar drošības caurumu izmantošanu).
Drošības caurumu izmantošanas iespēju demonstrēšana.

AS stabilitātes analīzei ir vairākas pieejas:

Meklējiet ievainojamības, kas ietilpst noteiktā kategorijā vai atbilst noteiktam modelim.
Hipotēzes konstruēšana par raksturīgākajām ievainojamībām un noteikšana, vai tās konkrētajā programmā pastāv.

Lai gan šīs pieejas attiecas uz programmatūras analīzi, ir līdzīgas pieejas aparatūras un fizisko un administratīvo drošības mehānismu analīzei.

Stratēģijas centienu koncentrēšanai detalizētā analīzē

Pat ar detalizētu analīzi reti ir iespējams pilnībā aptvert visus atomelektrostaciju drošības nodrošināšanas aspektus. Tālāk ir norādītas divas fokusēšanas stratēģijas, kas tiek izmantotas, veicot analīzi, izmantojot iepriekš apskatītās pieejas. Viens ir balstīts uz aizsardzības modeļa komponentu analīzi, bet otrs ir balstīts uz konkrētu uzbrukuma scenāriju un procesu analīzi, kas notiek AS.

AES aizsardzības modeļa komponentu analīze

Šī fokusa stratēģija ir balstīta uz četrām galvenajām AS aizsardzības modeļa sastāvdaļām, kas ir resursi, draudi, iespējamās sekas draudi un drošības mehānismi. Visi šie komponenti ir jāņem vērā jau sākotnējās analīzes un riska analīzes laikā. Pašreizējais uzdevums ietver to detalizētāku izskatīšanu, pamatojoties uz jau pieejamajiem datiem.

AS informācija, programmatūra un fiziskie resursi darbojas kā aizsardzības objekts. Var būt nepieciešams veikt detalizētu resursu (datnes, ieraksti, programmas, ierīces, sakaru kanāli utt.) un to atribūtu (daudzums, parametri, lietojumi, raksturlielumi) izpēti.

Drošības draudi AS resursiem tiek definēti, ņemot vērā ielaušanās modeli, apdraudējuma īstenošanas veidu un uzbrukuma objektu. Analizējot draudus, ir svarīgi nošķirt draudu veidus: nejauši, tīši vai dabisku iemeslu dēļ. Aizsardzība pret tīšiem draudiem, ko sauc arī par uzbrukumiem, var būt visgrūtākā.

Uzbrukumi AS resursiem, ko veic gan ārējie, gan iekšējie iebrucēji, ir sadalīti attālos (tīkla) un lokālos.

Vietējos uzbrukumus raksturo šādi atribūti:

Draudu avots, kā aprakstījis pretinieka modelis.
Uzbrukuma veids norāda uz piederību vienam vai otram zināmam uzbrukuma veidam, atbilstoši to klasifikācijai.
Uzbrukuma metode norāda uz piederību vienai vai otrai zināmai šāda veida uzbrukuma metodei, atbilstoši to klasifikācijai.
Uzbrukuma objekts (AS resurss, pret kuru vērsts uzbrukums).
Apdraudējuma īstenošanas mērķis un sekas (rezultāts) (seku apraksts un iespējamā kaitējuma novērtējums). Iespējamie drošības apdraudējumu īstenošanas mērķi ir AS informācijas resursu konfidencialitātes, integritātes vai pieejamības pārkāpums, kā arī AS programmatūras un tehnisko komponentu pieejamība.
Nosacījumi (priekšnoteikumi) drošības apdraudējuma rašanās, piemēram, noteikta veida ievainojamību klātbūtne, programmatūras projektēšanas un izstrādes tehnoloģiskā procesa pārkāpumi utt.
Draudu dzīves cikls, kas sastāv no šādiem procesiem:
- dzimšana,
- attīstība,
- iekļūšana AS,
- iekļūšana kritiskā informācijā,
- inicializācija,
- darbības rezultāts,
- reģenerācija.

Attālinātos (tīkla) uzbrukumus var raksturot arī ar šādiem atribūtiem:

Ietekmes sākuma nosacījums:
- Uzbrukums pēc uzbrukuma objekta pieprasījuma.
- Uzbrukums paredzama notikuma iestāšanos uzbrukuma objektam.
- Beznosacījumu uzbrukums.
Ja ir atgriezeniskā saite ar uzbrukuma objektu:
- Ar atsauksmēm.
- Nav atsauksmju.
Pēc uzbrukuma objekta atrašanās vietas attiecībā pret uzbrukuma objektu:
- Intrasegment.
- Intersegments.
Atbilstoši OSI atsauces modeļa līmenim, uz kuru tiek veikta ietekme:
- Fiziskā.
- Kanāls.
- Tīkls.
- Transports.
- sesija.
- Izpilddirektors.
- Pielietots.
Pēc ietekmes veida:
- Aktīvs.
- Pasīvs.

Analīze pārbauda faktorus, kas ietekmē draudu veiksmīgas īstenošanas iespējamību. Apdraudējumu īstenošanas varbūtības ir atkarīgas no resursu stāvokļa un kritiskuma pakāpes, ar apdraudējuma īstenošanu saistītajām sekām, esošajiem aizsardzības mehānismiem un uzbrucēja gaidāmā ieguvuma. Veiksmīgas draudu ieviešanas iespējamības ir atkarīgas no AS drošības ievainojamību apjoma, kas arī tiek izvērtētas.

Analīzes metožu izvēli ietekmē draudu raksturs. Piemēram, standarta metode ir programmu avota tekstu analīze, lai noteiktu to atbilstību iedibinātajai tehnoloģijai un programmēšanas stilam, meklētu kļūdas un nepilnības drošības mehānismu ieviešanā. Taču, ja aplikācijas izstrādātājs ir apdraudējuma avots, tad problēma rodas programmatūras kļūdu meklēšanā un avota tekstu un specifikāciju vietā tiek veikta objekta koda izpēte, jo izstrādātāja ļaunprātīgas darbības šajā gadījumā netiks dokumentētas.

Apdraudējumu īstenošanas sekas ir iespējamo zaudējumu formas, ko raksturo AS īpašniekam vai lietotājiem nodarītā kaitējuma apjoms. Draudi īstenošanas seku piemēri ir konfidenciālas informācijas izpaušana, kļūdainu lēmumu pieņemšana no organizācijas vadības puses un zādzība. Nauda ar datoru krāpšanu. Novērtējot iespējamos bojājumus, tiek ņemts vērā sliktākais scenārijs.

Drošības mehānismu analīze ietver detalizētu izpēti par to pretdarbības pret draudiem efektivitāti. Šajā solī tiek meklētas drošības mehānismu nepilnības, kas izraisa drošības ievainojamību pastāvēšanu, tiek noteiktas reālās grūtības, kas saistītas ar konkrēta drošības mehānisma vājo vietu izmantošanu, tiek analizētas drošības izmaksas un izpētīti alternatīvi veidi, kā ieviest aizsardzības mehānismus.

Konkrētu uzbrukumu scenāriju un procesu analīze

Mūsdienu AS lielums un sarežģītība bieži vien neļauj iegūt visaptverošu informāciju par visiem tās darbības aspektiem. Šajā gadījumā AS drošības līmeņa novērtējums ir jāsniedz, pamatojoties uz nepilnīgu informāciju. Efektīvs risinājums šajā situācijā ir izmantot pieeju, kas saistīta ar konkrētu uzbrukuma scenāriju un procesu analīzi, kas notiek AS. Šī pieeja papildina pamata analīzes rezultātus ar konkrētiem piemēriem un ļauj koncentrēties uz konkrētiem un svarīgākajiem atsevišķu lietojumprogrammu darbības aspektiem.

Uzbrukuma scenārijā ir aprakstīti iepriekš apskatītie drošības apdraudējuma īstenošanas posmi. Uzbrukuma scenārija piemērs ir soli pa solim apraksts par nesankcionētu iekļūšanu AS (tostarp uzbrucēja darbību secību un uzbrukuma plānošanas procesu), izmantotajām ievainojamībām, apdraudētajiem AS resursiem un uzbrukuma sekām (tostarp bojājumu novērtējums).

Šī pieeja ietver plašu metožu izmantošanu AS drošības aktīvai testēšanai, izmantojot atbilstošus rīkus. Aktīvās testēšanas ideja ir imitēt iespējamā uzbrucēja darbības, lai pārvarētu aizsardzības sistēmu, izmantojot zināmas vietējo un attālo uzbrukumu metodes. Pamatojoties uz testa rezultātiem, tiek izdarīts secinājums par zināmu ievainojamību esamību vai neesamību AS. Tīkla skeneru darbība, kas šobrīd ir galvenais AS aktīvās testēšanas instruments, ir balstīta uz šo principu.

Pārskatu dokumentu sagatavošana, pamatojoties uz sertifikācijas rezultātiem

Galvenie ziņošanas dokumenti par sertifikācijas rezultātiem ir Noslēgums un tam pievienotais sertifikācijas testu protokols. Secinājums satur secinājumus par AES drošības mehānismu atbilstību sertifikācijas kritērijiem, drošības līmeņa novērtējumu un ieteikumus AES informācijas drošības režīma nodrošināšanai, papildinot esošos organizatoriskās aizsardzības pasākumus. Secinājums ir balstīts uz sertifikācijas pārbaužu protokolā ietvertajiem datiem. Pamatojoties uz Secinājumu, atestācijas komisijas priekšsēdētājs pieņem lēmumu par atbilstības sertifikāta izsniegšanu.

ASV vadlīniju dokumentos ir ieteikta šāda gala ziņojuma struktūra:

Ievads un kopsavilkums. Īsi aprakstīts pētāmās AS mērķis, galvenie raksturlielumi un iezīmes, izdarīti secinājumi, pamatojoties uz pamata un detalizētu analīžu rezultātiem, un sniegti ieteikumi, kā novērst konstatētos trūkumus aizsardzības organizācijā.
Novērtēšanas objekta apraksts. Šajā sadaļā ir informācija, kas nepieciešama, lai pieņemtu lēmumu par iespēju izsniegt atbilstības sertifikātu, kas ļauj apstrādāt informāciju ar noteiktu kritiskuma pakāpi ĀS. Viens no galvenajiem jautājumiem šeit ir atbilstība maiņstrāvas standartiem, normatīvie dokumenti un drošības politikas prasības. Šajā punktā aprakstītas arī PS īpašības, kas ietekmē lēmumu izsniegt sertifikātu, PS izmantošanai noteiktie ierobežojumi un tās robežas.
Atestācijas pārbaužu rezultāti. Šīs sadaļas pirmajā daļā ir aprakstīti ĀS drošības mehānismi un to loma esošo drošības apdraudējumu novēršanā. Sadaļas otrajā daļā ir aprakstītas AS ievainojamības, kas ir iedalītas divās kategorijās: atlikušās ievainojamības, kuras var atstāt ekonomisku iemeslu dēļ, un ievainojamības, kuras ir jānovērš. Šī sadaļas daļa kalpo vienlaikus kopsavilkums analīzes rezultātus un ieteikumu novērst atklātās ievainojamības vai pieņemt atlikušos riskus.
Pasākumi aizsardzības sistēmas trūkumu novēršanai. Šajā sadaļā ir aprakstīti pasākumi ievainojamību novēršanai, novērtētas pretpasākumu ieviešanas izmaksas un to ietekme uz AS darbību, kā arī noteikta šo uzdevumu īstenošanas prioritāte.

Nobeiguma ziņojumam ir pievienoti šādi dokumenti:

Atestācijas pārbaužu protokols.
Secinājums par sertifikācijas rezultātiem, kas norāda uz iespēju ĀS apstrādāt informāciju ar noteiktu kritiskuma līmeni.
ziņojumi par ĀS sākotnējās pārbaudes rezultātiem, pamata un detalizētas analīzes.

Gadījumā, ja AS neatbilst tai izvirzītajām informācijas drošības prasībām un nav iespējams operatīvi novērst konstatētos trūkumus, var tikt pieņemts lēmums par atteikumu izsniegt sertifikātu. Šajā gadījumā var noteikt atkārtotas sertifikācijas periodu.

Ja ir bezprincipiāla rakstura komentāri, apliecību var izsniegt pēc šo komentāru novēršanas pārbaudes.

Daudzas sertifikācijas laikā konstatētās drošības ievainojamības nevar būt pietiekams iemesls, lai atteiktu sertifikāta izsniegšanu. Šādā situācijā, lai novērstu nepilnības AS programmatūras un aparatūras aizsardzībā, ir iespējams izmantot dažādus organizatoriskā līmeņa pretpasākumus, kuru saraksts ir jānorāda atbilstības sertifikātā. Šādu pretpasākumu piemēri var būt attālās piekļuves aizliegums AS resursiem, izmantojot iezvanes sakaru kanālus sakārtotā veidā, ierobežojot informācijas konfidencialitātes līmeni, kas atļauts apstrādei AS, noņemt tās neaizsargātākās sastāvdaļas no AS utt.