Введение
Развитие, внедрение и использование распределенных информационных систем и технологий, использование импортных программно-аппаратных платформ без конструкторской документации привели
к появлению класса угроз информационной безопасности (ИБ), связанных с использованием так называемых скрытых информационных каналов, «невидимых» для традиционных средств зашиты информации.
Традиционные средства обеспечения ИБ такие, как средства разграничения доступа, межсетевые экраны, системы обнаружения вторжений, контролируют только информационные потоки, которые проходят по каналам, предназначенным для их передачи. Возможность обмена информацией вне этих рамок посредством скрытых каналов (СК) не учитывается.
В системах, требующих обеспечения повышенного уровня доверия, должны учитываться угрозы безопасности, возникающие вследствие наличия возможности несанкционированного действия с помощью СК.
Опасность СК для информационных технологий (ИТ) и автоматизированных систем (АС) и других активов организации связана с отсутствием контроля средствами защиты информационных потоков, что может привести к утечке информации, нарушить целостность информационных ресурсов и программного обеспечения в компьютерных системах или создать
иные препятствия по реализации ИТ.
Для обеспечения защиты информации, обрабатываемой в АС, необходимо выявлять и нейтрализовывать все возможные информационные каналы несанкционированного действия — как традиционные, так и скрытые.
Настоящий стандарт входит в серию взаимосвязанных стандартов,
объединенных общим наименованием «Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов», включающий в себя:
- общие положения.
- рекомендации по организации защиты информации, ИТ и АС от атак с использованием СК.
В общих положениях определены задачи, решаемые при проведении анализа СК, описана классификация СК и приведена классификация активов по степени опасности атак с использованием СК.
Существенным моментом защищенности систем ИТ и АС является доверие к системам защиты. Обеспечение доверия осуществляется путем
глубокого анализа или экспертизы программно-аппаратных продуктов с точки зрения их защищенности. Во многих случаях этот анализ затруднен в силу отсутствия исходных данных для его проведения, то есть исходных кодов, конструкторской и тестовой документации, в результате чего создаются угрозы информационным ресурсам, которые могут быть реализованы с помощью неизвестных программно-аппаратных систем и через интерфейсы взаимодействующих программно-аппаратных продуктов.
Требования доверия к безопасности информации установлены в ГОСТ Р ИСО/МЭК
15408-3, в соответствии с которым для систем
с оценочным уровнем доверия (ОУД), начиная с ОУД5, предусмотрено проведение обязательного анализа СК. При использовании аппаратно-программных продуктов иностранных производителей в условиях отсутствия на них конструкторской, тестовой документации и исходных кодов невозможно гарантировать отсутствие в них потенциально вредоносных компонентов, включенных
специально или возникших случайно (например, программной уязвимости). Таким образом, требование анализа СК в Российской Федерации является необходимым условием безопасного функционирования систем, обрабатывающих ценную информацию или использующих импортное аппаратно-программное обеспечение, в том числе и для систем с ОУД ниже ОУД5.
В рекомендациях по организации защиты информации, ИТ и АС от атак
с использованием СК определен порядок поиска СК и противодействия СК.
Настоящий стандарт разработан в развитие ГОСТ Р ИСО/МЭК
15408-3, ГОСТ Р ИСО/МЭК 17799 (в части мероприятий по противодействию угрозам ИБ, реализуемым с использованием СК)
и [1].
Далее
>>> |