Содержание к диссертации
Введение
Глава 1. Постановка задачи 11
1.1. Назначение и состав автоматизированной системы охраны 11
1.2. Классификация несанкционированных действий 16
1.3. Методология оценки устойчивости автоматизированных систем к несанкционированным действиям 19
1.4. Постановка задачи 25
Глава 2. Моделирование последствий несанкционированных действий 27
2.1. Выбор показателей эффективности автоматизированной охранной системы 27
2.2. Модель влияния несанкционированных действий на систему физической защиты 33
2.3. Математическая модель влияния несанкционированных действий на элементы и подсистемы АСО 42
2.4. Методика оценки влияния несанкционированных действий на показатели эффективности АСО 48
Выводы по 2-й главе 49
Глава 3. Исследование влияния несанкционированных действий на подсистему охранной сигнализации 51
3.1. Описание подсистемы охранной сигнализации 51
3.2. Исследование влияния несанкционированных действий на подсистему охранной сигнализации 59
Выводы по 3-й главе 69
Глава 4. Исследование влияния несанкционированных действий на подсистемы АСО 70
4.1. Влияние НСД на подсистему управления доступом 70
4.2. Влияние НСД на подсистему охранного телевидения 79
4.3. Влияние НСД на подсистему сбора и обработки информации 84
Выводы по 4-й главе 90
Глава 5. Определение требуемой устойчивости автоматизированной системы охраны к несанкционированным действиям 92
5.1. Проблема определения требуемой устойчивости АСО к несанкционированным действиям и способы ее решения 92
5.2. Методика анализа уязвимости автоматизированной системы охраны и модель нарушителя 99
5.3. Рекомендации по повышению устойчивости АСО к несанкционированным действиям 108
Заключение 114
Библиографический список использованной литературы 116
Приложение 1. Информация, используемая в подсистеме охранной сигнализации 126
Приложение 2. Таблицы переходов и выходов элементов подсистемы охранной сигнализации 130
Приложение 3. Правила идентификации угроз 137
Приложение 4. Угрозы подсистем АСО 138
Приложение 5. Уязвимости подсистемы охранного телевидения 140
- Методология оценки устойчивости автоматизированных систем к несанкционированным действиям
- Исследование влияния несанкционированных действий на подсистему охранной сигнализации
- Влияние НСД на подсистему сбора и обработки информации
- Рекомендации по повышению устойчивости АСО к несанкционированным действиям
Методология оценки устойчивости автоматизированных систем к несанкционированным действиям
Под устойчивостью автоматизированной системы охраны к НСД понимается ее способность выполнять свои функции при воздействии деструктивных факторов, вызванных несанкционированными действиями. Термин "устойчивость к НСД" во многом близок термину "защищенность от НСД", под которой понимается состояние объекта, в котором обеспечено сохранение его важнейших свойств в условиях воздействия на него НСД.
При создании АСО возникает задача определения необходимого уровня устойчивости системы к несанкционированным действиям и достижение этого уровня оптимальным выбором способов и средств защиты. Для нахождения метода решения названной задачи был проведен анализ специализированной литературы и выявлен перечень публикаций по проблеме устойчивости автоматизированных систем различного назначения к несанкционированным действиям. Проблема обеспечения устойчивости автоматизированной системы к НСД является частным случаем более общей проблемы построения защищенной информационной системы, поэтому изучались работы по оценке защищенности информации в автоматизированных системах управления и физической защите объектов. Детальное рассмотрение показало, что они опираются на несколько альтернативных методологий оценки ("аудита" - в некоторых источниках) безопасности систем. Отечественные методологии раскрыты в работах [19, 63] и документах Государственной технической комиссии РФ [29, 31]. Иностранные подходы изложены в национальных стандартах: "Радужной серии" Министерства обороны и Национального комитета по компьютерной безопасности США [82, 96 и др], британском стандарте BS7799 [93], немецком BSI [94], "Общих критериях оценки безопасности информационных технологий" [84 и др.], международном стандарте ISO/IEC 15408 [91], документах независимых ассоциаций и коммерческих организаций [97]. Материалы по ним даны в обзорах [18, 36, 76].
При подробном изучении названных методологий выявлено, что они близки по содержанию и опираются на единый системный подход к оценке защищенности информационных систем, технологий или продуктов, суть которого состоит в следующем:
Жизненный цикл любой информационной системы, как правило, состоит из следующих фаз - а) разработки концепции системы; б) проектирования; в) реализации проекта; г) эксплуатации; д) ликвидации. Безопасность системы должна быть обеспечена на всех фазах ее жизненного цикла. Подсистема безопасности может создаваться на любой из фаз жизненного цикла, но предпочтительно ее создание при разработке концепции и проектировании системы [19, 91]. Оценка защищенности системы и создание подсистемы защиты могут быть выполнены двумя методами - упрощенным или полным.
При упрощенном методе система приводится к одному из известных классов систем, для которых разработаны стандартные варианты (профили) защиты. В практике применяются универсальные профили, пригодные для широкого круга систем, и специализированные профили для узкого класса изделий [27, 30, 90, 95]. Каждому профилю соответствует определенный перечень требований к системе и среде ее окружения. При оценке защищенности системы ее спецификации сравниваются с набором требований профиля защиты. При создании системы на этапах разработки концепции и проектирования требования профиля защиты используются для разработки спецификаций подсистемы защиты. Уровень защищенности системы при упрощенном подходе устанавливается указанием класса защиты по выбранному профилю защиты. Данный метод относительно прост и экономически обоснован для систем с низкими требованиями безопасности.
Второй метод определения уровня защищенности системы требует полного анализа угроз и рисков. По результатам анализа формируются требования к безопасности с учетом всех значимых особенностей системы и ее среды окружения. Уровень защищенности при полном анализе указывается в виде перечня требований защиты, на котором в дальнейшем основывается синтез подсистемы безопасности. Этот способ более трудоемок и сложен, нежели первый, поэтому он применяется для систем с повышенными требованиями к безопасности.
В большей степени целям работы удовлетворяет второй метод определения требуемого уровня устойчивости АСО к НС Д. В полном виде он описан в [84] и включает следующие этапы (см. Рис. 1.2):
1) Описание информационной системы.
2) Анализ угроз и оценка рисков.
3) Определение целей безопасности.
4) Выбор требований к безопасности информационной системы.
5) Выбор методов, средств и мер защиты.
На первом этапе оценки должно быть создано детальное описание защищаемой информационной системы - предмета оценки безопасности (ПОБ) и физической среды, в которой она функционирует.
Описание системы должно включать описания всех ее ресурсов, целей и особенностей функционирования, к которым применяются требования безопасности. При описании должны учитываться аспекты связности, т.е. возможные взаимодействия частей ПОБ между собой и с внешней средой.
Описание среды окружения ПОБ должно отражать все факторы, связанные с безопасностью, включая организационную и кадровую политики.
На втором этапе должна быть произведена идентификация и анализ угроз, которым подвержена информационная система и анализ рисков. Угроза безопасности - потенциальная возможность нарушения характеристик (свойств) системы.
Угроза может реализоваться в виде последовательности обстоятельств и событий, позволяющей агенту угрозы, человеческому или иному, вызвать связанную с системой неудачу путем использования уязвимости в системе (по аналогии с [92]). "Уязвимость - это слабость или свойство системы или ее отдельных элементов, которая может быть использована для нарушения стратегии защиты системы в установленной среде окружения" [89]. Агенты угроз способны использовать уязвимости и причинять ущерб ресурсам информационной системы. Необходимо, чтобы были описаны любые известные или предполагаемые угрозы, от которых должна быть обеспечена защита и сформирован список угроз ПОБ. Угрозы описываются в терминах агентов угроз, ресурсов, требующих защиты, и их уязвимых мест. Список угроз может быть получен путем систематического поиска и/или из перечней угроз, приведенных в известных стандартах [25, 84, 90, 92, 94]. Аналогично, создается перечень уязвимостей ПОБ.
Затем по полученным описаниям необходимо оценить риски, которым подвержена информационная система. Под риском понимается шанс неблагоприятного исхода, опасность, возможность потерь или повреждений вследствие воздействия на систему агентов угроз [92]. Риски оцениваются на основе множества идентифицированных угроз, политик безопасности, уязвимости и ценности защищаемых ресурсов. При оценке учитываются вероятности возникновения угроз и тяжесть возможного ущерба при их реализации. Методы оценки риска информационных систем описаны в [74]. Обязательной составной частью первого и второго этапов является указание в явном виде перечня допущений, с учетом которых выполнены описания ПОБ, физической среды, организационных политик безопасности, анализ угроз и рисков.
На следующем этапе должны быть определены цели безопасности. При этом анализируются принятые технические и организационные решения, экономические факторы и решается каким угрозам должна противостоять защита, а также какими согласованными и непротиворечивыми средствами она будет обеспечиваться. Наличие целей безопасности позволяет осуществить выбор требований безопасности. Для чего могут используются перечни и каталоги требований [27, 28, 85, 86, 87, 94]. К требованиям безопасности относятся функциональные требования, требования гарантированности и требования к среде окружения, включая организационные политики безопасности.
Завершающий этап состоит в преобразовании полученного набора требований безопасности в спецификации безопасности ПОБ, которые включают конкретные методы, средства и меры защиты.
Изложенная методология носит общий характер. При ее детализации на каждом из этапов применяются самые различные методы, обзоры которых даны в [19, 63, 88, 89]. Оцениваемые информационные системы отличаются большим разнообразием, поэтому для их описания используются различные методы. Конечной целью первого этапа является подготовка исходных данных для этапа выявления угроз и уязвимостей, который представляет особую сложность в силу существующего противоречия между требованием абсолютной полноты выявления всех угроз и уязвимостей и отсутствием формальных доказательств этой полноты.
Исследование влияния несанкционированных действий на подсистему охранной сигнализации
Исследование производилось на примере участка подсистемы охранной сигнализации, структурная схема которого показана на Рис.3.2.
Участок ПОС состоит из извещателей И1-И4, подключенных с помощью шлейфов Ш1-Ш5 и коммутационного устройства КУ2 к охранным панелям ЛокУУІ, ЛокУУ2, которые, в свою очередь, через каналы обмена данными KOI, К02 и коммутационное устройство КУ1 подключены к персональному компьютеру ПК. Выходными сигналами, по которым оператор АСО оценивает состояние подсистемы охранной сигнализации, являются сообщения на мониторе персонального компьютера. Показатели и критерии эффективности элементов, необходимые для построения функции вероятности обнаружения данного участка ПОС, приведены в Таблице 3.2.
Было принято допущение о том, что в условиях воздействия НСД любого вида суммарное время задержки участка Тз не превосходит допустимого времени задержки в нормальных условиях средние значения вероятностей правильного срабатывания локальных УУ Рис и вероятностей правильной передачи информации каналов обмена, шлейфов и коммутационных устройств Рпп превышают 0,999. Вероятности обнаружения Роб извещателей разных типов находятся в пределах 0,8-0,98. Так как Роб«Рпп, Рпс можно считать, что вероятность обнаружения данным участком ПОС приблизительно равна: Роб10\/ Роб1і\/ Роб15\/ Робіб (3-3)
Выражение (3.3) отражает тот факт, что в системе охранной сигнализации в нормальных условиях вероятность обнаружения нарушения определяется вероятностями обнаружения входящих в нее извещателей.
Для исследования выбран линейный рубеж охраны, широко применяемый в тактике охраны объектов [71]. В рассматриваемом примере зоны обнаружения извещателей участка ПОС образуют линейный рубеж охраны на отрезке [11, 14]. В системах охранной сигнализации применяются извещатели с пространственной зоной обнаружения, у которых вероятность обнаружения есть функция от трех координат. В примере принято, что вероятность обнаружения єсть функция от точки на рубеже Робзад(І) и по всей его длине должна быть не менее 0,8.
Графики вероятностей обнаружения извещателей и рубежа охраны в целом показаны на Рис.3.3.
Для расчета Pd(l) вероятности обнаружения нарушителя на рубеже охраны из К извещателей с пересекающимися зонами обнаружения использовалось выражение
Полученные результаты на примере охранной панели ЛокУУІ (элемента 5) проиллюстрированы графиком P dsnfl) на Рис.3.3, который показывает вероятность обнаружения на рубеже охраны после воздействия НСД 1-го вида на ЛокУУІ. Из графика видно, что на отрезке [11, 12] рубежа участок ПОС не способен обнаружить нарушителя, при этом на отрезке [12, 16] вероятность обнаружения практически не меняется.
Графики релевантности НСД 1-го вида на различные элементы участка ПОС, рассчитанные по выражению (2.28), показаны на Рис.3.4.
Из графиков видно, что участок ПОС неустойчив к воздействию НСД 1-го вида. Исключение составляют несанкционированные воздействия на элементы Ш5, И4, у которых г11и(1) - г 15(1) = 0,18. Слабое влияние данных НСД обусловлено дублированием зон обнаружения извещателей ИЗ, И4 на отрезке [14, 15] рубежа охраны. Наибольшее влияние имеют воздействия на ПК и КУ1, в которых концентрируется вся поступающая информация о состоянии рубежа охраны. Можно заключить, что чем больше первичной информации о состоянии объекта концентрируется в элементе ПОС, тем большее влияние имеют НСД 1-го вида, воздействующие на этот элемент.
Исследование влияния НСД 2-го и 3-го видов, а также множественных НСД 1-3 вида может быть проведено аналогичным способом. Абсолютная релевантность НСД 1-го вида задает граничные значения влияния несанкционированных действий на эффективность ПОС. Влияние НСД 2-го и 3-го видов, действующих на те же элементы, не будет выходить за указанные пределы.
Необходимо указать, что если обязательной реакцией на НСД 1 -го вида является вызов специалиста-ремонтника, то НСД 2-го вида могут быть скрытыми, т.е. реакции на них со стороны элементов СФЗ не последует.
Расчет релевантности НСД осложняется большими размерами множества релевантности НСД R, а также тем, что релевантность является функцией от нескольких параметров. В использованном примере множество НСД 1-го вида R- iil)} насчитывает 16 элементов, для реальных систем множество R будет насчитывать тысячи элементов. Кроме того, в [6, 67] указывается, что вероятность обнаружения различных типов охранных извещателей существенно зависит от условий окружающей среды и способа действия нарушителя. Исходя из этого, вероятность обнаружения извещателя будет являться функцией от пространственных координат, а также от условий окружающей среды и способа действий нарушителя.
Кроме рассмотренных несанкционированных действий 1-3 вида на системы охранной сигнализации могут воздействовать НСД, изменяющие логику функционирования системы. Такие НСД отнесены к 4-му виду и исследованы в соответствии с методикой, описанной в параграфе 2.3.
По алгоритмам функционирования и структурной схеме ПОС созданы модели элементов в виде конечных автоматов. Графы состояний некоторых из них даны на Рис 3.5, 3.6, а таблицы переходов и выходов в Приложении 2.
Анализ состояния охраняемого объекта и подсистемы охранной сигнализации производится оператором по выходным сигналам на мониторе компьютера ПК. По графу состояний ПК построены таблицы несанкционированных и блокированных переходов. В таблицах 3.3 и 3.4 содержатся последствия этих переходов для подсистемы охранной сигнализации и для системы физической защиты объекта в целом. Из таблиц следует, что НСД 4-го вида (кроме НСД видов 4.5, 4.9) эквивалентны НСД 1-го вида по снижению вероятности обнаружения ПОС. НСД вида 4.3, 4.6, 4.7, 4.9 являются скрытыми, и, следовательно, более опасными нежели остальные. НСД вида 4.3, 4.7 влекут за собой пропуск нарушителя, а НСД вида 4.2, 4.6 создают условия для такого пропуска. Наиболее опасным является НСД вида 4.4, последствиями которого являются пропуск нарушителя на одном участке охраны и ложная тревога на другом. Остальные разновидности НСД 4-го вида также имеют негативные последствия для системы физической защиты объекта, проявляющиеся в ложной тревоге, нарушении режима охраны, дополнительной нагрузке на оператора АСО, силовое и ремонтное подразделения.
Влияние НСД на подсистему сбора и обработки информации
Подсистема сбора и обработки информации (ПСОИ) предназначена для сбора информации о состоянии подсистем АСО; обработки и отображения полученной информации; управления подсистемами АСО; хранения информации о событиях в архивах.
В большинстве исследованных систем охраны ПСОИ - это локальная вычислительная сеть, состоящая из: 1) компьютеров поддержки подсистем с модулями коммутации; 2) серверов; 3) компьютеров автоматизированных рабочих мест (АРМ) пользователей АСО; 4) сетевого оборудования и внешних устройств; 5) программного обеспечения (ПО).
Как правило, ПСОИ строится на персональных компьютерах и стандартном сетевом оборудовании, иногда применяются компьютеры в промышленном исполнении. Структурная схема ПСОИ показана на Рис.4.3.
Компьютеры поддержки подсистем предназначены для обмена информацией с локальными устройствами управления подсистем АСО и оснащены блоками коммутации. Подключение к ним локальных У У производится по стандартным сетевым протоколам (TCP/IP, Ethernet и др.). Информация подсистем после обработки компьютерами поддержки передается на серверы и компьютеры рабочих мест пользователей.
Серверы предназначены для хранения текущей и архивной информации. Для повышения надежности они резервируются.
АРМ пользователей предназначены для отображения информации и управления системой. В состав ПСОИ входят АРМ администратора и АРМы операторов подсистем. АРМ администратора предназначен для полного управления системой. С него можно получить доступ к любой информации АСО, управлять всеми ее элементами, устанавливать права операторов. АРМы операторов предназначены для управления подсистемами АСО и по функциональному назначению делятся на АРМы операторов охранных подсистем и АРМ обеспечивающих подсистем (бюро пропусков, фотоидентификации и т.д.).
АРМ оператора охранных подсистем (ПОС, ПОТ, ПУД) предназначен для контроля состояния объекта охраны и управления подсистемами в пределах прав предоставленных администратором.
АРМ оператора бюро пропусков предназначен для обслуживания подсистемы управления доступом и обеспечивает оформление пропусков идентификаторов и ведение баз данных ПУД.
АРМ поста фотоидентификации расположен на автоматизированном контрольно-пропускном пункте (в точке доступа) и обеспечивает вывод на монитор фотографий и текстовой информации о лицах, пытающихся осуществить проход.
В состав ПСОИ входит программное обеспечение, включающее сетевую операционную систему и операционные системы рабочих станций (ОС); системы управления базами данных (СУБД); специализированное программное обеспечение АСО для работы с техническими средствами и базами данных подсистем АСО, вспомогательное программное обеспечение. К специализированному ПО относятся программы поддержки локальных устройств управления различных типов, отображения состояния объекта охраны, бюро пропусков, фотоидентификации, подготовки отчетов и другие. Структура ПО ПСОИ показана на Рис.4.4.
В базах данных ПСОИ хранится информация об объекте охраны: о его инженерных особенностях, режимах работы и охраны, персонале и посетителях; о структуре, составе, размещении технических средств и режимах работы АСО; информация об общих и локальных настройках ОС, СУБД, специализированного ПО; о пользователях ПСОИ (учетные данные, права); архив событий.
Функционирование ПСОИ характеризуется большим числом показателей, к наиболее важным из которых относятся время реакции, полнота и качество отображения информации, удобство управления подсистемами АСО, показатели надежности.
Время реакции ПСОИ зависит от производительности задействованных устройств и программных модулей, от пропускной способности каналов обмена информацией и коммутационных блоков. Время реакции ПСОИ исчисляется в пределах секунд и должно соответствовать действующим политикам безопасности, включая моменты пиковой нагрузки, например, в начале и конце рабочего дня.
Полнота и качество отображения информации, а также удобство управления подсистемами должны обеспечивать нормальную работу пользователей и зависят от количества и качества устройств отображения и ввода данных и качества программного обеспечения. Эти показатели ПСОИ оцениваются качественно, требования к ним нормативно не задаются, но указываются в техническом задании на разработку системы.
Подсистема сбора и обработки информации представляет собой типичную локальную компьютерную сеть и как объект воздействия НСД хорошо изучена [19, 36 и др.]. Поэтому исследование влияния несанкционированных действий на ПСОИ производилось структурно-логическим методом с использованием описаний нарушений, возможных в отношении подобных систем и полученных из доступных источников. Учитывалось, что воздействие НСД может приходиться как на аппаратную, так и на программную составляющие ПСОИ. Влияние НСД 1-го вида исследовалось методами теории надежности с учетом надежности программного обеспечения [45].
По результатам исследования установлено: 1. Зависимость показателей эффективности подсистемы от НСД 1-го вида этого вида определяется принятой схемой резервирования. Для структуры, показанной на Рис.4.3, отказ консоли сервера, серверов, устройства коммутации приводит к отказу ПСОИ и является критичным из-за ее полной неспособности выполнять свои функции. Отказ ПСОИ не влечет за собой отказа охранных подсистем, но затрудняет управление ими. При отказе ПСОИ операторы анализируют ситуацию по информации, отображаемой на панелях индикации локальных УУ ПОС и ПУД, что приводит к снижению вероятности правильного анализа и росту времени анализа. К аналогичным последствиям приводит отказ компьютеров поддержки и/или блоков коммутации. АРМ администратора и оператора охранных подсистем дублированы, и отказ одного из них не изменяет показателей системы. При отказах возможна потеря текущей информации и нарушения установленных политик безопасности. Для подсистемы управления доступом возможны ложные тревоги из-за рассогласования содержимого баз данных ПСОИ и буферов памяти локальных УУ (блоков управления модулями доступа), а также увеличение времени инициализации идентификатора при отказе АРМ бюро пропусков и повышении вероятностей ложного пропуска и ложного задержания в точке доступа с АРМ фотоидентификации. Для подсистемы охранного телевидения влияние НСД этого вида на ПСОИ определяется особенностями реализации. Отказ сервера, коммутатора или специализированного АРМ в аналоговой подсистеме охранного телевидения приводит к потере функций управления, реализованных программно. Аналогичные отказы в цифровой ПОТ ведут к ее отказу при совмещении устройств отображения ПОТ и ПСОИ.
Рекомендации по повышению устойчивости АСО к несанкционированным действиям
В ходе исследования был проведен выборочный анализ уязвимости подсистем и элементов автоматизированной системы охраны и построена модель нарушителя для подсистемы сбора и обработки информации. Полученные результаты были использованы для определения целей и требований защиты АСО от несанкционированных действий. Общие задачи защиты АСО сформулированы согласно проекта стандарта [65] и приведены в таблице 5.3.
Полностью постановка задач и выбор требований защиты от НСД были выполнены для подсистемы сбора и обработки информации. Анализ существующих структур ПСОИ показал, что они относятся к 1 -й группе АС согласно [27], т.е. являются многопользовательскими автоматизированными системами, в которых «одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности, и не все пользователи имеют право доступа ко всей информации».
Установлено, что по ГОСТ [24, 25] и РД [27] ПСОИ должна соответствовать уровням защищенности 1Г-1В. Кроме требований, задаваемых ГОСТ и РД, по результатам анализа уязвимости были сформулированы дополнительные требования защиты. В качестве средств, реализующих полученный набор требований защиты, было решено использовать встроенные средства защиты общесистемного и прикладного программного обеспечения, аппаратной части ПСОИ, а также наложенные средства защиты информации (СЗИ), средства контроля целостности информации и антивирусной защиты.
Для выявления особенностей совместного применения перечисленных выше средств были выполнены эксперименты на полномасштабных моделях ПСОИ, имеющих в своем составе операционные системы Novell NetWare 4.11, Microsoft Windows NT 4.0; прикладное программное обеспечение «ИСТЭК», «КИПЕР» (ЗАО НЛП «ИСТА-системс», Санкт-Петербург); СЗИ «Dallas Lock» (ЗАО «Конфидент», Санкт-Петербург), «Аккорд» (ОКБ САПР, Москва), «Secret Net» (НИП «Информзащита», Москва), «Спектр» (ГУП СЦПС «СПЕКТР», Санкт-Петербург); антивирусные программы и средства контроля целостности AVP (ЗАО «Лаборатория Касперского», Москва), DrWeb, ADinf (ЗАО «Диалог-Наука», Москва).
В ходе тестирования них было установлено, что встроенные средства защиты ОС, СУБД и прикладного программного обеспечения позволяют обеспечить потенциальную устойчивость к большей части выявленных несанкционированных действий 4-го вида при небольших затратах на настройку и поддержание защиты. В ряде случаев использование средств защиты, встроенных в базовые компоненты АСО, не лишает нарушителя всех возможностей негативного воздействия на нее, в том числе не обеспечивает сохранения целостности информации и разграничения прав пользователей по доступу к ресурсам. Использование внешних СЗИ позволяет снизить риск, но усложняет работу пользователей и требует дополнительных затрат на проектирование, обеспечение совместимости, настройку и поддержание защиты. Использование внешних СЗИ приводит к росту среднего времени реакции и времени восстановления ПСОИ.
При тестировании удалось получить дополнительные данные о технической совместимости, необходимых требованиях к программному обеспечению и аппаратной части ПСОИ и конкретные рекомендации по их настройке. Часть результатов опубликована в работах [56, 60].
Результаты стендовых испытаний были использованы для разработки базового и усиленного вариантов защиты подсистемы сбора и обработки информации от несанкционированных действий. Базовый вариант защиты предназначен для обеспечения устойчивости ПСОИ при низком риске НСД и основан на использовании встроенных средств защиты элементов ПСОИ. Усиленный вариант защиты предназначен для применения в условиях повышенного риска, поэтому в нем кроме встроенных средств использованы внешние средства защиты («Аккорд», «Спектр» или аналогичные), средства контроля целостности и антивирусные программы. Результаты применения указанных вариантов защиты ПСОИ от НСД, оцененные по уровню возможностей нарушителя согласно [27], даны в Таблице 5.4.
«1-й уровень определяет самый низкий уровень ведения диалога в АС -запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
2-й уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
3-й уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.
4-й уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации» [27] .
Проведенные исследования позволили сформулировать рекомендации по повышению устойчивости автоматизированной системы охраны к НСД:
1. Для повышения устойчивости АСО к НСД кроме обязательных средств и мер защиты, предписанных нормативными документами, должны быть предусмотрены дополнительные меры, выбор которых производится индивидуально для каждого элемента АСО с учетом условий размещения и планируемых политик безопасности.
2. Доступ к элементам АСО должен быть ограничен инженерно, технически и организационно. Они могут быть защищены размещением в индивидуальных охраняемых зонах, сигнализацией вскрытия, резервированием. Резервируемые элементы должны подключаться по различным каналам обмена.
3. Должны быть предусмотрены меры контроля целостности периферийных устройств, коммутационно-распределительного оборудования и линий связи, включая контроль положения зон наблюдения охранных устройств (извещателей, телевизионных камер) и целостность передаваемой и хранимой информации. Должен быть предусмотрен контроль идентичности информации, хранимой в базах данных подсистемы сбора и обработки информации и в памяти локальных устройств управления охранных подсистем.
