Система с полным перекрытием

Естественным продолжением моделей оценки угроз автоматизированных систем обработки данных являются модели нейтрализации этих угроз, т. е. модели защиты. Наиболее общей моделью защиты является модель с так называемой системой с полным перекрытием.

При построении данной модели в качестве исходной взята естественная посылка, состоящая в том, что в механизме защиты должно содержаться по крайней мере одно средство для перекрытия любого потенциально возможного канала утечки информации. Методика формального описания такой системы заключается в следующем:

• составляется полный перечень объектов системы, подлежащих защите;

• составляется полный перечень потенциально возможных угроз информации, т. е. возможных вариантов злоумышленных действий;

• определяется количественная мера соответствующей угрозы для соответствующего объекта;

• формируется множество средств защиты информации в вычислительной системе;

• определяется количественная мера возможности противодействия. Если она превышает уровень угрозы, то система защиты достаточна.

Очевидно, что если множество М таково, что устраняются все ребра графа, то такая система является системой с полным перекрытием.

Одной из разновидностей теоретически строгих моделей являются модели систем разграничения доступа к ресурсам автоматизированной системы обработки данных.

В самом общем виде существо этих моделей может быть представлено следующим образом. Автоматизированная система обработки данных является системой множественного доступа, т. е. к одним и тем же ее ресурсам (техническим средствам, программам, массивам данных) имеет законное право обращаться некоторое число пользователей (абонентов). Если какие-либо из указанных ресурсов являются защищаемыми, то доступ к ним должен осуществляться лишь при предъявлении соответствующих полномочий. Система разграничения доступа и должна стать тем механизмом, который регулирует такой доступ. Требования к этому механизму на содержательном уровне состоят в том, что, с одной стороны, не должен быть разрешен доступ пользователям (или их процессам), не имеющим на это полномочий, а с другой - не должно быть отказано в доступе пользователям (или их процессам), имеющим соответствующие полномочия.

11.3. Практическая реализация модели «угроза - защита»

В качестве примера практической реализации модели «угроза - защита» рассмотрим табл., где представлена информация для случая широкомасштабного внедрения в России акцизных марок с объемной криптоголографической защитой. В ней отчетливо выделяются как технические, так и организационные методы защиты информации.

Таблица 2.12. Перечень возможных вариантов угроз и защиты от них

Угроза	Защита
Подделка информации в марках	1. Информация в марках защищается путем применения электронной цифровой подписи (ЭЦП), что не позволяет производить марки с произвольной информацией, а также вносить в нее исправления. 2. Используемое в системе средство криптографической защиты информации (СКЗИ) «ВЕРБА-OW» имеет сертификат ФАПСИ № СФ/114-0174 от 10.04.1997 г., что гарантирует его надежность и обеспечивает юридическую значимость защищенной информации
Копирование информации в марках	1. Так как система ведет учет продукции с точностью до одной единицы и каждая марка подписывается ЭЦП, то информация на каждой марке является уникальной и не подлежит массовому копированию. Так, например, для копирования партии марок в количестве 10 тыс. шт. трудозатраты составляют примерно 2 рабочих человеком месяца при условии автоматизации этого процесса и работы без остановки в течение всего рабочего дня. Без автоматизации процесса время копирования марок увеличивается на несколько порядков. 2. Так как в системе вся информация по проведенным проверкам экспортируется в центральную базу данных, то дублирование марок легко выявляется на этапе анализа результатов их проверок
Кража готовых марок	В случае кражи партии готовых марок информация о них заносится в центральную базу данных. При проведении проверок продукция, маркированная этими марками, легко выявляется
Перепродажа готовых марок	При печати марок на них наносится информация, полностью описывающая данную конкретную единицу продукции, включая наименование, производителя, дату производства, тару, маркирующую организацию, сопроводительные документы и т. д., защищенную от подделки и модификации ЭЦП. На основании этой информации при проведении проверки легко выявляется несоответствие между марками, маркированной продукцией и сопроводительными документами
Сговор с разработчиками	1. Проверка подлинности и авторства информации в защитных марках осуществляется с помощью электронной цифровой подписи. Так как разработчики не имеют доступа к используемым закрытым ключам ЭЦП, то сговор по подделке марок невозможен. 2. Отсутствие закладок в используемых программах может гарантироваться путем их сертификации в Государственной технической комиссией при Президенте РФ (ФСТЭК России)
Сговор с инспектором	Для исключения фактов искажения или несообщения инспектором результатов проверки марок в системе предусмотрена специальная «фискальная» память, в которую заносится вся информация о проведенных проверках. Далее эта информация экспортируется в центральную базу данных для анализа
Сговор с персоналом инспекции для модификации центральной базы данных системы	Для защиты информации от несанкционированного доступа центральная база данных разработана на СУБД Oracle 8, что обеспечивает высокую надежность хранения и защиты информации, а также масштабируемость системы. СУБД Oracle 8 имеет сертификат Государственной технической комиссией при Президенте РФ № 168 по классу защищенности 1В