Основную роль в методе разработки системы обеспечения безопасности играет так называемая модель безопасности (модель управления доступом, модель политики безопасности). Целью этой модели является выражение сути требований по безопасности к данной системе. Она определяет потоки информации, разрешенные в системе, и правила управления доступом к информации.

Модель позволяет провести анализ свойств системы, но не накладывает ограничений на реализацию тех или иных механизмов защиты. Так как она является формальной, возможно осуществить доказательство различных свойств безопасности системы.

Хорошая модель безопасности обладает свойствами абстрактности, простоты и адекватности моделируемой системе.

Основные понятия, используемые в моделях разграничения доступа, приведены в руководящем документе Государственной технической комиссии при Президенте РФ "Защита от несанкционированного доступа к информации":

· доступ к информации - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации;

· объект доступа - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа;

· субъект доступа - лицо или процесс, действия которого регламентируются правилами разграничения доступа;

· правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа [17, с.4].

Модель дискреционного доступа (DAC). В рамках дискреционной модели контролируется доступ субъектов (пользователей или приложений) к объектам (представляющим собой различные информационные ресурсы: файлы, приложения, устройства вывода и т.д.).

Для каждого объекта существует субъект-владелец, который сам определяет тех, кто имеет доступ к объекту, а также разрешенные операции доступа. Основными операциями доступа являются READ (чтение), WRITE (запись) и EXECUTE (выполнение, имеет смысл только для программ). Таким образом, в модели дискреционного доступа для каждой пары субъект-объект устанавливается набор разрешенных операций доступа.

При запросе доступа к объекту, система ищет субъекта в списке прав доступа объекта и разрешает доступ, если субъект присутствует в списке и разрешенный тип доступа включает требуемый тип. Иначе доступ не предоставляется.

Классическая система дискреционного контроля доступа является "закрытой" в том смысле, что изначально объект не доступен никому, и в списке прав доступа описывается набор разрешений. Также существуют "открытые" системы, в которых по умолчанию все имеют полный доступ к объектам, а в списке доступа описывается набор ограничений.

Недостаток модели DAC заключается в том, что субъект, имеющий право на чтение информации может передать ее другим субъектам, которые этого права не имеют, без уведомления владельца объекта. Таким образом, нет гарантии, что информация не станет доступна субъектам, не имеющим к ней доступа. Кроме того, не во всех АИС каждому объекту можно назначить владельца (во многих случаях данные принадлежат не отдельным субъектам, а всей системе).

Понимая информационную безопасность как "состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба. Практика показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы "заместитель" реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности. Можно предложить компоненты модели информационной безопасности на первом уровне декомпозиции. По нашему мнению, такими компонентами концептуальной модели безопасности информации могут быть следующие:

· объекты угроз;

· угрозы;

· источники угроз;

· цели угроз со стороны злоумышленников;

· источники информации;

· способы неправомерного овладения конфиденциальной информацией (способы доступа);

· направления защиты информации;

· способы защиты информации;

· средства защиты информации.

Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов). Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности. Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба. Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям. Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная и программно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности. Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и смешанно - программно-аппаратными средствами. В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу. В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведены на рисунке 1 [37, с.49].

Рисунок 1 - Концептуальная модель безопасности информации

Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз [34, с.2].

Модель безопасности Белла-ЛаПадулы. Одна из наиболее известных моделей безопасности - модель Белла-ЛаПадулы (модель мандатного управления доступом, рис.2). В ней определено множество понятий, связанных с контролем доступа; даются определения субъекта, объекта и операции доступа, а также математический аппарат для их описания. Эта модель в основном известна двумя основными правилами безопасности: одно относится к чтению, а другое - к записи данных.

Пусть в системе имеются данные (файлы) двух видов: секретные и несекретные, а пользователи этой системы также относятся к двум категориям: с уровнем допуска к несекретным данным (несекретные) и с уровнем допуска к секретным данным (секретные).

Свойство простой безопасности: несекретный пользователь (или процесс, запущенный от его имени) не может читать данные из секретного файла. Свойство: пользователь с уровнем доступа к секретным данным не может записывать данные в несекретный файл. Это правило менее очевидно, но не менее важно. Действительно, если пользователь с уровнем доступа к секретным данным скопирует эти данные в обычный файл (по ошибке или злому умыслу), они станут доступны любому "несекретному" пользователю. Кроме того, в системе могут быть установлены ограничения на операции с секретными файлами (например, запрет копировать эти файлы на другой компьютер, отправлять их по электронной почте и т.д.). Второе правило безопасности гарантирует, что, вирус, например, не сможет похитить конфиденциальные данные. Эти файлы (или даже просто содержащиеся в них данные) никогда не станут несекретными и не "обойдут" эти ограничения

Рисунок 2 - Модель безопасности Белла-Ла Падулы.

Рассмотренные правила легко распространить на случай, когда в системе необходимо иметь более двух уровней доступа - например, различаются несекретные, конфиденциальные, секретные и совершенно секретные данные. Тогда пользователь с уровнем допуска к секретным данным может читать несекретные, конфиденциальные и секретные документы, а создавать - только секретные и совершенно секретные.

Общее правило звучит так: пользователи могут читать только документы, уровень секретности которых не превышает их допуска, и не могут создавать документы ниже уровня своего допуска. То есть теоретически пользователи могут создавать документы, прочесть которые они не имеют права.

Модель Белла-Ла Падулы стала первой значительной моделью политики безопасности, применимой для компьютеров, и до сих пор в измененном виде применяется в военной отрасли. Модель полностью формализована математически. Основной упор в модели делается на конфиденциальность, но кроме неё фактически больше ничего не представлено. Кроме того, в модели игнорируется проблема изменения классификации: предполагается, что все сведения относятся к соответствующему уровню секретности, который остается неизменным. Наконец, бывают случаи, когда пользователи должны работать с данными, которые они не имеют права увидеть.

Ролевая модель контроля доступа (RBAC). Ролевой метод управления доступом контролирует доступ пользователей к информации на основе типов их активностей в системе (ролей). Под ролью понимается совокупность действий и обязанностей, связанных с определенным видом деятельности. Примеры ролей: администратор базы данных, менеджер, начальник отдела.

В ролевой модели с каждым объектом сопоставлен набор разрешенных операций доступа для каждой роли (а не для каждого пользователя). В свою очередь, каждому пользователю сопоставлены роли, которые он может выполнять. В некоторых системах пользователю разрешается выполнять несколько ролей одновременно, в других есть ограничение на одну или несколько не противоречащих друг другу ролей в каждый момент времени.

Для формального определения модели RBAC используются следующие соглашения:

S - субъект - человек или автоматизированный агент;

R - роль - рабочая функция или название, определяется на уровне авторизации;

Р - разрешения - утверждения режима доступа к ресурсу;

SE - сессия - Соответствие между S, R и/или Р;

SA - назначение субъекта (Subject Assignment). SASR.

При этом субъекты назначаются связям ролей и субъектов в отношении "многие ко многим" (один субъект может иметь несколько ролей, а одну роль могут иметь несколько субъектов).

РА - назначение разрешения (Permission Assignment). PAPR.

При этом разрешения назначаются связям ролей в отношении "многие ко многим".

RH - частично упорядоченная иерархия ролей (Role Hierarchy). PHRR.

На возможность наследования разрешений противоположных ролей накладывается ограничительная норма, которая позволяет достичь надлежащего разделения режимов. Например, одному и тому же лицу может быть не позволено создать учетную запись для кого-то, а затем авторизоваться под этой учетной записи [56, с.3].

Рисунок 3 - Схема ролевой модели контроля доступа (RBAC)

Основные достоинства ролевой модели:

1. Простота администрирования. В отличие от модели DAC нет необходимости прописывать разрешения для каждой пары "объект - пользователь". Вместо этого прописываются разрешения для пар "объект-роль" и определяются роли каждого пользователя. При изменении области ответственности пользователя, у него просто изменяются роли. Иерархия ролей (когда роль наряду со своими собственными привилегиями может наследовать привилегии других ролей) также упрощает процесс администрирования.

2. Принцип наименьшей привилегии. Ролевая модель позволяет пользователю регистрироваться в системе ролью, минимально необходимой для выполнения требуемых задач. Запрещение полномочий, не требуемых для выполнения текущей задачи, не позволяет обойти политику безопасности системы.

3. Разделение обязанностей. RBAC широко используется для управления пользовательскими привилегиями в пределах единой системы или приложения. Список таких систем включает в себя Microsoft Active Directory, SE Linux, FreeBSD, Solaris, СУБД Oracle, Postgre SQL 8.1, SAPR/3 и множество других, эффективно применяющих RBAC.

С помощью RBAC могут быть смоделированы дискреционные и мандатные системы управления доступом.

Системы разграничения доступа. Конкретное воплощение модели разграничения доступа находят в системе разграничения доступа. СРД - это совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах. Многие системы разграничения доступа базируются на понятии диспетчера доступа. В основе этой концепции лежит понятие диспетчера доступа - абстрактной машины, которая выступает посредником при всех обращениях субъектов к объектам. Диспетчер доступа использует базу данных защиты, в которой хранятся правила разграничения доступа и на основании этой информации разрешает, либо не разрешает субъекту доступ к объекту, а также фиксирует информацию о попытке доступа в системном журнале.

Основными требованиями к реализации диспетчера доступа являются:

· требование полноты контролируемых операций, согласно которому проверке должны подвергаться все операции всех субъектов над всеми объектами системы. Обход диспетчера предполагается невозможным;

· требование изолированности, то есть защищенности диспетчера от возможных изменений субъектами доступа с целью влияния на процесс его функционирования;

· требование формальной проверки правильности функционирования;

· минимизация используемых диспетчером ресурсов.

База данных защиты строится на основе матрицы доступа или одного из ее представлений.

Матрица доступа - таблица, в которой строки соответствуют субъектам, столбцы - объектам доступа, а на пересечении строки и столбца содержатся правила (разрешения) доступа субъекта к объекту. Основными недостатками такой матрицы являются ее чрезмерно большая размерность и сложность администрирования: все взаимосвязи и ограничения предметной области приходится учитывать вручную. (Примеры ограничений: права доступа субъекта к файлу не могут превышать его прав доступа к устройству, на котором этот файл размещен; группа пользователей наследует одинаковые полномочия и т.д.). Для преодоления этих сложностей матрица заменяется некоторым ее неявным представлением. Рассмотрим основные из них.

Списки управления доступом (access controllists, ACL). Для каждого объекта задан список субъектов, имеющих ненулевые полномочия доступа к ним (с указанием этих полномочий). В результате серьезно экономится память, поскольку из матрицы доступа исключаются все нулевые значения (составляющие большую ее часть). Тем не менее, спискам управления доступом присущ ряд недостатков:

· неудобство отслеживания ограничений и зависимостей по наследованию полномочий субъектов;

· неудобство получения сведений об объектах, к которым имеет какой либо вид доступа данный субъект;

· так как списки управления доступом связаны с объектом, то при удалении субъекта возможно возникновение ситуации, при которой объект может быть доступен несуществующему субъекту;

· списки полномочий субъектов. Аналогично ACL с той разницей, что для каждого субъекта задан список объектов, доступ к которым разрешен (с указанием полномочий доступа). Такое представление называется профилем субъекта. Оба представления имеют практически идентичные достоинства и недостатки.

Атрибутные схемы. Основаны на присвоении субъектам и/или объектам определенных меток, содержащих значения атрибутов. Элементы матрицы доступа не хранятся в явном виде, а динамически вычисляются при каждой попытке доступа для конкретной пары субъект - объект на основе их атрибутов. Помимо экономии памяти достигается непротиворечивость базы данных защиты, а также удобство ее администрирования. Основным недостатком является сложность задания прав доступа конкретного субъекта к конкретному объекту.

Эмпирический подход к оценке уязвимости информации. Сущность эмпирического подхода заключается в том, что на основе длительного сбора и обработки данных о реальных проявлениях угроз информации и о размерах того ущерба, который при этом имел место, чисто эмпирическим путем устанавливаются зависимости между потенциально возможным ущербом и коэффициентами угроз. При этом для несанкционированного получения информации необходимо одновременное наступление следующих событий частоту проявления соответствующей угрозы и значения имевшего при ее проявлении размера ущерба.

Наиболее характерным примером моделей рассматриваемой разновидности являются модели, разработанные специалистами американской фирмы IBM. Рассмотрим развиваемые на этих моделях подходы.

Исходной посылкой при разработке моделей является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой - обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость зашиты, может быть выражена суммой расходов на защиту и потерь от ее нарушения. Совершенно очевидно, что оптимальным решением было бы выделение на защиту информации средств минимизирующих общую стоимость работ по защите информации. Для того чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять), во-первых, ожидаемые потери при нарушении защищенности информации, а во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.

Решение первого вопроса, т.е. оценки ожидаемых потерь при нарушении защищенности информации, принципиально может быть получено лишь тогда, когда речь идет о защите промышленной, коммерческой и им подобной тайны, хотя и здесь встречаются весьма серьезные трудности. Что касается оценки уровня потерь при нарушении статуса защищенности информации, содержащей государственную, военную и им подобную тайну, то здесь до настоящего времени строгие подходы к их получению не найдены. Данное обстоятельство существенно сужает возможную область использования моделей, основанных на рассматриваемых подходах. Для определения уровня затрат R_i, обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать, во-первых, полный перечень угроз информации, во-вторых, потенциальную опасность для информации для каждой из угроз и, в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.

Поскольку оптимальное решение вопроса о целесообразном уровне затрат на защиту состоит в том, что этот уровень должен быть равен уровню ожидаемых потерь при нарушении защищенности, достаточно определить только уровень потерь. Специалистами фирмы IBM предложена следующая эмпирическая зависимость ожидаемых потерь от i-й угрозы информации:

(1)

где S_i - коэффициент, характеризующий возможную частоту возникновения соответствующей угрозы; V_i - коэффициент, характеризующий значение возможного ущерба при ее возникновении.

Специалистами были предложены следующие значения коэффициентов, предложенные в таблице 1 и 2.

Таблица 1 - Значения коэффициентов, характеризующих возможную частоту возникновения соответствующей угрозы, S

Подобные документы

• Анализ рисков информационной безопасности в банковской сфере на примере "ЮниКредит Банк"

  Анализ существующих методик оценки рисков информационной безопасности и разработка собственной методики для банковской сферы. Апробирование полученной методики на примере АО "ЮниКредит Банк". Информация, необходимая для проведения анализа рисков.
  
  дипломная работа [523,2 K], добавлен 16.06.2015
  

• Организация процесса кредитования в коммерческом банке на примере ЗАО АКБ "Экспресс-Волга Банк" (ОАО) "Сурский"

  Основы организации кредитного процесса в коммерческом банке. Классификация, принципы банковского кредитования. Формы обеспечения кредитов, порядок их выдачи и погашения. Предоставление кредитов предприятиям в ЗАО АКБ "Экспресс-Волга Банк" (ОАО) "Сурский".
  
  дипломная работа [1,4 M], добавлен 26.01.2012
  

• Механизм обеспечения финансовой безопасности коммерческого банка на примере ООО "Хоум Кредит энд Финанс Банк" (ООО "ХКФ Банк")

  Сущность, место и роль финансовой составляющей в системе обеспечения экономической безопасности банковской деятельности в РФ. Анализ и оценка финансовой безопасности коммерческого банка ООО "Хоум Кредит энд Финанс Банк", рекомендации по ее оптимизации.
  
  дипломная работа [680,7 K], добавлен 27.07.2010
  

• Информационная безопасность банковской деятельности Российской Федерации

  Источники, виды и классификация угроз информационной безопасности банковской деятельности. Мошенничество с платежными картами. Стандарты информационной безопасности Банка Российской Федерации. Схема информационной защиты системы интернет-платежей.
  
  презентация [1,5 M], добавлен 02.04.2013
  

• Характеристика ЗАО АКБ "Экспресс-Волга"

  Организационно-экономическая характеристика ЗАО АКБ "Экспресс-Волга". Финансовые показатели деятельности. Кредитные операции. Кредит на доверии. Требование к наличию устойчивых оборотов в банке. Расчетные и депозитные операции, их характеристика.
  
  отчет по практике [32,6 K], добавлен 11.11.2013
  

• Системы рефинансирования Центральным банком кредитных организаций

  Сущность и принципы функционирования Центрального банка РФ, правовые основы его деятельности. Содержание системы рефинансирования кредитных организаций Банком России. Современное состояние денежно-кредитной политики, ее инструменты и перспективы развития.
  
  курсовая работа [193,8 K], добавлен 11.12.2010
  

• Деятельность ОАО КБ "Пойдем!" по обеспечению экономической безопасности банковской системы

  Понятие безопасности бизнеса и основные направления ее обеспечения, критерии и методика ее оценки, роль и место в деятельности коммерческого банка. Нормативно-правовые основы формирования системы безопасности. Анализ состояния банковского сектора.
  
  дипломная работа [133,6 K], добавлен 17.09.2014
  

• Формирование и использование кредитных ресурсов коммерческих банков (на примере ДБ АО "Хоум Кредит Банк")

  Кредитные ресурсы коммерческого банка, основные принципы их формирования и источники. Экономический анализ деятельности ДБ АО "Хоум кредит банк". Проблемы формирования ресурсной базы коммерческого банка, пути повышения эффективности их размещения.
  
  дипломная работа [601,9 K], добавлен 16.05.2017
  

• Экономико-организационные проблемы обеспечения безопасности деятельности коммерческих банков, пути развития и функционирования систем безопасности

  Основные тенденции развития банковской системы РФ. Роль и место обеспечения безопасности в деятельности коммерческого банка. Система мер сохранности ценностей и контроля. Критерии оценки и основные направления обеспечения безопасности банковской системы.
  
  курсовая работа [403,6 K], добавлен 30.07.2009
  

• Экономико-правовая оценка функционирования коммерческого банка на примере ООО "Хоум Кредит энд Финанс Банк"

  Коммерческий банк как субъект экономической деятельности государства. Особенности оценки функционирования коммерческих банков. Нормативно-правовое регулирование банковской деятельности. Анализ финансовой отчетности ООО "Хоум Кредит энд Финанс Банк".
  
  дипломная работа [1,0 M], добавлен 30.04.2014
  

• главная
• рубрики
• по алфавиту
• вернуться в начало страницы
• вернуться к началу текста
• вернуться к подобным работам