Клиент - сервер

      З метою оцінки стану технічного захисту  інформації, що обробляється або циркулює в автоматизованих системах, комп'ютерних  мережах, системах зв'язку, і підготовки обґрунтованих виводів для прийняття  відповідних рішень звичайно проводиться  експертиза в сфері технічного захисту  інформації.

      На  даному об'єкті можливі загрози вторгнень, викрадення та сбою дії системи клієнт-сервер.

      Загрози можуть виникати на різних рівнях:

      - прикладне й системне ПЗ;

      - апаратна частина серверів і робочих станцій;

      - комунікаційне устаткування й канали зв'язку;

      - периметр інформаційної системи.

На прикладному  рівні не забезпечена безпека:

- розмежування доступу до інформації;

- аудита й моніторингу;

- програмне забезпечення не задовольняє нормам безпеки - не -встановлено між мережевих екранів (Firewall)

- не має системи виявлення вторгнень

На апаратному рівні:

- засоби блокування пристроїв і інтерфейсів вводу-виводу інформації.

- не встановлені мережеві фільтри

Периметр  не забеспечено:

- системи цифрового відеоспостереження;

- системи контролю й керування доступом (СККД).

  
 
 
 
 
 

5.Структурна схема КСІБ ОІД 

     На  виконання Указів Президента наказом  ДСТЗІ СБ України № 76 від 24 грудня 2001 р. затверджено "Порядок захисту  державних інформаційних ресурсів в інформаційно-телекомунікаційних системах", де викладено основи організації  та порядок захисту державних  інформаційних ресурсів в мережі передавання даних (МІ ІД).

     Відповідно  до п.п 12-20 цього Порядку оператори повинні забезпечувати створення, упровадження та супровадження на кожному з вузлів комутації МПД комплексної системи захисту інформації (КСЗІ), яка є сукупністю технічних, криптографічних, організаційних та інших заходів і засобів захисту, спрямованих на недопущення блокування і а/або модифікування інформації під час її передавання МПД.

     Захисту підлягають державні інформаційні ресурси, інформація користувачів, яка передається  мережею незалежно від способу  її фізичного та логічного представлення, технологічна інформація та інформація бази даних захисту (security mamagement information base ) самої КСЗІ.

     При цьому, здійснення заходів щодо забезпечення конфіденційності державних інформаційних  ресурсів та захист від несанкціонованого  доступу до них в автоматизованих  системах покладається не на оператора, а на користувачів МПД. Згідно з чинним законодавством, створення переліку вимог, сертифікацію й атестацію  систем шифрування покладено на віповідний уповноважений орган виконавчої влади.

     Ця  діяльність регламентується "Положенням про порядок здійснення криптографічного захисту інформації в Україні".

     Вимоги  щодо захисту інформації в МПД  полягають у такому

• КСЗІ має регламентувати порядок опрацювання інформації користувачів МПД, технологічної інформації, що формується в МПД, та інформації бази даних захисту КСЗІ;
• в мережах загального користування має виключатися можливість несанкціонованого копіювання та зберігання інформації користувачів;
• має забезпечуватись конфіденційність інформаційної бази захисту КСЗІ та технологічної інформації МПД;
• КСЗІ МПД має забезпечувати цілісність інформації, яка передається мережею, шляхом забезпечення доступу до неї лише персоналу МПД у відповідності з встановленими функціональними повноваженнями, а також впровадженням механізмів та процедур виявлення фактів порушення цілісності зазначеної інформації, її вилучання чи копіювання;
• КСЗІ МПД має вести облік і здійснювати реєстрування подій, які пов'язані із спробами доступу до інформації, здійснювати періодичний контроль за такими подіями та забезпечувати захист реєстраційної інформації від несанкціонованого модифікування, руйнування чи знищення.

     Обсяг реєстраційної інформації має бути достатнім для встановлення причин та джерела виникнення зареєстрованої події;

     - послуги МПД мають надаватись лише зареєстрованим користувачам за умови їхнього достовірного розпізнавання;

     - взаємодія вузлів комутації МПД з метою передавання інформації поміж ними може здійснюватися після достовірного взаємного розпізнавання;

     - ІКСЗІ повинна мати можливість контролювати цілісність власного складу та окремих програмно-технічних компонентів;

     - має забезпечуватись можливість однозначного встановлення належності інформації, яка передається МПД, певному користувачеві;

     - має забезпечуватись можливість встановлення факту передавання чи одержання оператором чи користувачем певної інформації;

     - повинне унеможливлюватися несанкціоноване чи неконтрольоване використання користувачами ресурсів МПД;

     - критичні з точки зору безпеки компоненти КСЗІ мають резервуватися, з тим, аби їхня відмова не призводила до переривання процесу надавання послуг;

     - у разі виникнення відмов, які порушують функціонування КСЗІ, надавання вузлом послуг користувачам має бути призупинене. 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     6. Політика безпеки інформації та План захисту інформації в ОІД 

     Політику  безпеки може бути здійснено, з використанням  різних механізмів, окремо чи в комбінації, залежно від об'єктів політики. Загалом механізми належатимуть до одного з трьох класів, які  можуть перетинатись: запобігання, реєстрування, відновлювання.

     Аби забезпечувати послуги, використовують механізми безпеки. До відповідногой (N)- рівня може бути долучено вісім спеціальних механізмів захисту. Ще п'ять загальних механізмів захисту набули загального поширення. Розглянемо спеціальні механізми захисту, які може бути долучено до відповідного (М)-рівня. Один чи комбінація з декількох механізмів захисту утворюють послугу захисту. Сервіс - це звертання до послуги, тобто використання механізмів захисту, які її утворюють.

     Механізми безпеки відповідно до середовища передавання  даних можуть бути такими:

• техніки криптографії та шифрування;
• керування ключами;
• цифрового підпису;
• контролю доступу;
• цілісності даних;
• обміну автентифікуванням;
• заповнення трафіка;
• контролю маршрутизації;
• нотаризації;
• фізичної та персональної безпеки;

   Мережний рівень внутрішньо зорганізовано для забезпечування виконання протоколами таких операцій: доступ до мереж; зливання залежних під мереж; злиття незалежних під мереж; передавання і маршрутизація.

Сервіси безпеки забезпечуються мережною службою ВВС. Протокол, який виконує функції доступу до мереж, забезпечує такі сервіси безпеки, як:

• взаємна автентифікація однорівневих об'єктів;
• автентифікація джерела даних;
• сервіс контролю доступу;
• конфіденційність з'єднання;
• конфіденційність без установлення з'єднання;
• конфіденційність трафіка;
• цілісність з'єднання без відновлювання;
• цілісність без установлення з'єднання.

Ці сервіси  безпеки можуть забезпечуватися  окремо чи в комбінації. Сервіси  безпеки, які можна забезпечувати  відповідно до протоколу, які виконує  операції зв'язку й маршрутизації, є  такими ж самими, як і ті, які забезпечуються протоколом, який виконує операції доступу до мереж.

Протоколи мережної служби ВВС, які виконують  доступ до мереж, операції з'єднання  й маршрутизації, застосовують ідентичні механізми безпеки. Маршрутизація виконується на цьому рівні, і тому, контроль маршрутизації зосереджено також на цьому ж таки рівні. Сервіси безпеки забезпечуються у такий спосіб:

• сервіс взаємного автентифікування однорівневих об'єктів забезпечується придатною криптографічно отриманою комбінацією чи обміном захищеного автентифікування, чи обміном захищеними пролями й механізмами підпису;
• сервіс автентифікації джерела даних може бути забезпечено шифруванням чи механізмами підпису;
• сервіс контролю доступом забезпечується використанням механізмів керування доступом;
• сервіс конфіденційності з'єднання забезпечується механізмом шифрування та/чи контролем маршрутизації;
• сервіс конфіденційності без установлення з'єднання забезпечується механізмом шифрування та/чи контролем маршрутизації;
• сервіс конфіденційності трафіка досягається механізмом заповнення трафіка фоновою інформацією в сполученні з сервісом конфіденційності на мережному чи канальному рівні та/чи контролем маршрутизації;
• сервіс цілісності з'єднання без відновлювання забезпечується використанням механізму цілісності даних, іноді в сполученні з механізмом шифрування;
• сервіс цілісності без установлення з'єднання забезпечується використанням механізму цілісності даних, іноді в сполученні з механізмом шифрування.
• Захист мережі застосовується перед нормальними функціями мережі на передаванні й після нормальних функцій мережі на прийманні. Аналогічно механізми безпеки вводяться в дію стосовно функцій зв'язку й маршрутизації на передаванні й після функцій зв'язку й маршрутизації на прийманні. Механізми контролю маршрутизацією, згідно з обмеженням щодо маршрутизації, отримуваними від БМІВ поперед даних, проходять до функцій маршрутизації й передавання.
• Керування доступом на мережному рівні може переслідувати декілька цілей. Це дозволяє кінцевій системі контролювати шифрування мережного з'єднання, а під мережам — контролювати використання ресурсів мережного рівня тощо. Установлення мережного з'єднання може обліковуватись адміністрацією під мережі. Механізми контролю доступом можуть використовуватися для контролю доступу до під мереж суб'єктів зв'язку і контролю доступу до прикінцевих систем.
• Прикладні процеси, власне кажучи, самі можуть надавати усі сервіси й використовувати такі самі види механізмів відповідно до різних рівнів архітектури.
• Згідно з чинними в Україні нормативними документами з технічного захисту інформації, кожна послуга та кожен сервіс може включати декілька рівнів. Чим вище є рівень послуги, тим повніше забезпечується захист від певного виду загроз. Для кожної послуги має бути розроблено політику безпеки, яку буде здійснено інформаційною системою.
• В нормативних документах розглядаються вимоги двох видів: вимоги щодо послуг забезпечування безпеки й вимоги щодо рівня гарантій їхньої реалізації. Має бути зазначений рівень гарантій, який передбачається досягти комлексом засобів захисту.
• З точки зору експлуатації комплексу засобів захисту, описові послуг має передувати опис політики безпеки інформації, яку повинен реалізовувати комплекс засобів захисту.
• Опис політики безпеки має включати в себе опис: об'єктів; принципів керування доступом користувачів до інформації; правил розмежовування інформаційних потоків; правил маркування носіїв інформації; основних атрибутів доступу користувачів, процесів та пасивних об'єктів; правил розмежовування доступу користувачів і процесів до пасивних об'єктів;

правил  адміністрування комплексу засобів  захисту і реєстрування дій користувачів.

    Для кожної долученої послуги має  бути визначено рівень послуги, який передбачається зреалізувати. Має бути описано політику даної послуги: зазначення об'єктів, до яких застосовується дана послуга, і правил, відповідно до яких мають функціонувати механізми, які реалізовують послугу. 
 
 
 
 
 
 
 
 
 
 

7. Перелік детальних вимог до системи захисту інформаційних ресурсів ОІД 

    Система розмежування доступу повинна забезпечувати виконання наступних функцій:

• аутентифікація користувача за паролем і, можливо, за ключовою дискетою;
• розмежування доступу до логічних дисків;
• прозорого шифрування логічних дисків;
• шифрування вибраних файлів;
• розмежування доступу до каталогу і файлів, включаючи посекторний

    захист  даних для вибраних файлів і заборона модифікації областей FAT і DIR для  вибраних файлів;

• дозволу запуску суворо певних для користувача програм;
• реєстрації всіх спроб НСД і входу/ виходу користувача в систему;
• реакції на НСД;
• захисту від відладників.

       Систем  захисту інформації від несанкціонованого  доступу (НСД) забезпечують виконання наступних функцій:

• ідентифікація ресурсів, що захищаються, тобто привласнення ресурсам,

       що захищаються, ідентифікаторів - унікальних ознак, за якими в подальшому система виробляє аутентифікацію;

• аутентифікації ресурсів, що захищаються, тобто встановлення їхньої

    справжності на основі порівняння з еталонними ідентифікаторами;

• розмежування доступу користувачів до ІС;
• розмежування доступу користувачів по операціям над ресурсами (програми, дані, сектори і т.д.), що захищаються, з допомогою

програмних  засобів;

    -адміністрування:

        -визначення прав доступу до ресурсів, що захищаються,