Файл: Выполнение требований к защите информации от НСД (ПО «Secret Net LSP»).pdf

Принцип целостности средств защиты. Этот принцип предполагает, что средства защиты информации в автоматизированных системах должны точно реализовывать собственные функции по вышеуказанным принципам и быть изолированными от пользователей, а для собственного сопровождения должны включать специальный защищенный интерфейс для средств контроля, сигнализации о попытках нарушения защиты информации и влияния на процессы в системе^[20].

Обеспечение защиты средств вычислительной техники (СВТ) и автоматизированных систем (АС) реализуется: системой разграничения доступа (СРД) субъектов к объектам доступа; обеспечивающими средствами для СРД^[21].

Ключевыми функциями СРД являются:

– выполнение правил разграничения доступа (ПРД) субъектов и их процессов к информации;

– выполнение ПРД субъектов и их процессов к устройствам создания твердых копий;

– изоляция программ процесса, реализуемого в интересах субъекта, от иных субъектов;

– управление потоками информации для предотвращения записи данных на носители несоответствующего грифа;

– выполнение правил обмена данными между субъектами для АС и СВТ, созданных по сетевым принципам^[22].

Обеспечивающие средства для СРД реализуют определенные функции, а именно:

– идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, реализуемому для субъекта;

– регистрацию действий субъекта и его процесса;

– предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов; реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;

– тестирование;

– очистку оперативной памяти и рабочих областей на магнитных носителях по окончании работы пользователя с защищаемыми данными;

– учет выходных печатных и графических форм и твердых копий в АС;

– контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств^[23].

Способы реализации СРД находятся в зависимости от специфики СВТ и АС. Возможно использование определенных способов защиты и их сочетаний, а именно:

– распределенная СРД и СРД, локализованная в программно-техническом комплексе (ядро защиты)^[24];

– СРД в рамках операционной системы, СУБД или прикладных программ;

---

– СРД в средствах реализации сетевых взаимодействий или на уровне приложений; применение криптографических преобразований или методов непосредственного контроля доступа; программная и (или) техническая реализация СРД.

Итак, невозможно абсолютно защитить информацию от НДС. Для определения принципа организации защиты от НСД нужно индивидуальный подход.

1.2. Сравнительный анализ наиболее распространенных средств защиты информации от НСД

В данном разделе курсовой работы целесообразно провести сравнительный анализ наиболее распространенных средств защиты информации (СЗИ) от НСД, используемых для защиты данных в информационных системах. Критерии сравнения выбраны с учетом характеристик СЗИ от НСД^[25].

Для защиты информации в компьютерных системах от атак на уровне операционной системы, системы сетевого программного обеспечения и системы управления базами данных используются СЗИ от НСД. Основополагающим фактором выбора СЗИ от НСД в информационной системе является соответствие нормам и требованиям уполномоченных органов в сфере обработки данных^[26]. Самыми распространенными средствами защиты информации от НСД в MS Windows являются средства: «Secret Net LSP», «Dallas Lock 8.0‐K», «Панцирь‐К», «Аура 1.2.4»^[27].

Все вышеуказанные СЗИ представляют собой сертифицированные программные СЗИ, поддерживающие автономный и сетевой режим работы. Помимо всего прочего, они реализуют схожие функции, а именно:

1. Идентификация и аутентификация пользователей.

2. Разграничение и контроль доступа пользователей к ресурсам системы, терминалам, ЭВМ, узлам сети ЭВМ, внешним устройствам, программам, томам, каталогам, файлам и пр.

3. Учет носителей информации.

4. Контроль целостности защищаемых ресурсов.

5. Контроль элементов СЗИ.

6. Контроль вывода на печать и маркировка документов.

7. Уничтожение (затирание) содержимого файлов при их удалении.

8. Фиксация событий безопасности в журнале.

9. Теневое копирование выводимых данных^[28].

В сетевом режиме СЗИ также реализуют определенные функции, а именно:

---

1. Централизованное управление настройками СЗИ.

2. Централизованный сбор данных о событиях безопасности на защищаемых компьютерах^[29].

Методика сравнительного анализа СЗИ от НСД «Secret Net LSP», «Dallas Lock 8.0‐K», «Панцирь‐К», «Аура 1.2.4» приводится ниже.

Критериями для сравнительного анализа определены следующие технические характеристики СЗИ от НСД^[30]:

1. Класс защищенности.

2. Уровень контроля НДВ.

3. Класс автоматизированных систем.

4. Дополнительные аппаратные требования: требуемый объем свободного места на жестком диске для размещения СЗИ.

5. Дополнительная аппаратная поддержка: есть или нет.

Технические характеристики для СЗИ от НСД отражены в таблице 1.

Таблица 1 – Технические характеристики СЗИ от НСД

Критерии сравнения	Secret Net LSP	Dallas Lock 8.0-K	Панцирь-К	СЗИ Аура 1.2.4
Класс защищенности	По 3 классу защищенности	По 5 классу защищенности	По 5 классу защищенности	По 5 классу защищенности
Уровень контроля НДВ	По 2 уровню контроля	По 4 уровню контроля	По 4 уровню контроля	По 4 уровню контроля
Класс автоматизированных систем	До класса 1Б включительно	До класса 1Г включительно	До класса 1Г включительно	До класса 1Г включительно
Дополнительные аппаратные требования: свободное место на жестком диске	2,000 Гб	0,030 Гб	0,020 Гб	0,060 Гб
Дополнительная аппаратная поддержка	есть (Secret Net Card, ПАК «Соболь»)	нет	есть (ПАК контроля активности КСЗИ)	нет

Для оценки рейтинга СЗИ от НСД по критерию сравнения нужно построить следующую матрицу показателей Aij (таблица 2).

Таблица 2 – Матрица показателей

Критерии сравнения	Secret Net 7	Dallas Lock 8.0-K	Панцирь-К	СЗИ Аура 1.2.4
Класс защищенности	А 11	А 12	А 13	А 14
Уровень контроля НДВ	А 21	А 22	А 23	А 24
Критерии сравнения	Secret Net LSP	Dallas Lock 8.0-K	Панцирь-К	СЗИ Аура 1.2.4
Класс автоматизированных систем	А 31	А 32	А 33	А 34
Дополнительные аппаратные требования: свободное место на жестком диске	А 41	А 42	А 43	А 44
Дополнительная аппаратная поддержка	А 51	А 52	А 53	А 54

---

В такой матрице каждому показателю Aij присваивается некоторое числовое значение.

Далее необходимо пояснить назначение числовых значений показателей Aij на примере СЗИ от НСД «Secret Net LSP». Класс защищенности, уровень контроля НДВ и класс автоматизированной системы выше, чем у прочих рассматриваемых СЗИ^[31]. Однако, требуемый объем жесткого диска для реализации данного СЗИ существенно больше, что вводит ограничения на возможности аппаратных средств. Далее нужно ввести определенное правило для количественной оценки показателя Aij: показатель должен принимать тем большее значение, чем выше значимость определенного критерия для принятия решения^[32]. В данном случае количественная оценка показателей для принятых критериев сравнения выполняется так:

А 1J = 1 / (Класс защищенности: 3 или 5);

А 2J = 1 / (Уровень контроля НДВ: 2 или 4);

А 3J = 1 / (Класс АС: 2 – для класса 1Б или 4 – для класса 1Г);

А 4J = 1 / (Требуемый объем жесткого диска в Гб);

А 5J = 1 – дополнительная аппаратная поддержка есть; 0 – нет^[33].

Итак, получены числовые значения матрицы показателей (таблица 3).

Таблица 3 – Матрица показателей. Числовые значения

Критерии сравнения	Secret Net LSP	Dallas Lock 8.0-K	Панцирь-К	СЗИ Аура 1.2.4
Класс защищенности	1/3 = 0,333	1/5 = 0,200	1/5 = 0,200	1/5 = 0,200
Уровень контроля НДВ	1/2 = 0,500	1/4 = 0,250	1/4 = 0,250	1/4 = 0,250
Класс автоматизированных систем	1/2 = 0,500	1/4 = 0,250	1/4 = 0,250	1/4 = 0,250
Дополнительные аппаратные требования: свободное место на жестком диске	1/2,000 = 0,500	1/0,030 = 33,333	1/0,020 = 50,000	1/0,06 = 16,667
Дополнительная аппаратная поддержка	1,000	0,000	1,000	0,000

Последующий сравнительный анализ осуществляется при помощи расчета рейтинга по критериям сравнения.

Рейтинг по критерию сравнения определяется по формуле (1):

R_ij=(A_ij-A_{i min})/(A_{i max}-A_{i min})*100*K_i (1)

где A_ij – текущее значение показателя;

A_{i min} – минимальное значение показателя для указанного критерия;

A_{i max} – максимальное значение показателя для указанного критерия;

K_i – весовой коэффициент.

Далее по формуле (2) рассчитывается итоговый рейтинг СЗИ от НСД:

---

(2)

где m – количество критериев средства защиты информации^[34].

Пример расчета по выбранной методике приводится ниже в таблицах 4 и 5.

Таблица 4 – Исходные данные для расчета итогового рейтинга СЗИ от НСД

Критерии сравнения	Secret Net LSP	Dallas Lock 8.0-K	Панцирь-К	СЗИ Аура 1.2.4	Ai min	Ai max	Ki
Класс защищенности	0,333	0,200	0,200	0,200	0,200	0,333	0,30
Уровень контроля НДВ	0,500	0,250	0,250	0,250	0,250	0,500	0,30
Класс автоматизированных систем	0,500	0,250	0,250	0,250	0,250	0,500	0,30
Дополнительные аппаратные требования: свободное место на жестком диске	0,500	33,333	50,000	16,667	0,500	50,000	0,05
Дополнительная аппаратная поддержка	1,000	0,000	1,000	0,000	0,000	1,000	0,05

Таблица 5 – Расчет итогового рейтинга СЗИ от НСД

Критерии сравнения	Secret Net LSP	Dallas Lock 8.0-K	Панцирь-К	СЗИ Аура 1.2.4
Класс защищенности	30,000	0,000	0,000	0,000
Уровень контроля НДВ	30,000	0,000	0,000	0,000
Класс автоматизированных систем	30,000	0,000	0,000	0,000
Дополнительные аппаратные требования: свободное место на жестком диске	0,000	3,316	5,000	1,633
Дополнительная аппаратная поддержка	5,000	0,000	5,000	0,000
Итоговый рейтинг СЗИ от НСД Rj	95,000	3,316	10,000	1,633

Итак, проанализировав ключевые критерии выбранных СЗИ от НСД, предложена методика их сравнительного анализа. С точки зрения технического уровня, из числа рассмотренных СЗИ, бесспорным преимуществом обладает СЗИ от НСД «Secret Net LSP». Однако нужно принимать во внимание, что данное СЗИ может использоваться не только для защиты конфиденциальной информации, но и для защиты секретной. Затем приоритеты распределены так: «Панцирь‐К», «Dallas Lock 8.0‐K» и СЗИ «Аура 1.2.4».

---