Дети в семье, как цветы, за ними нужен уход, но когда они вырастут - вы в убытке не останетесь! © Александр Дьяков 1058 - | 879 - или читать все...
Обратная связь Пожаловаться на материал

Методы и средства зашиты информации


⇐ ПредыдущаяСтр 2 из 3Следующая ⇒

Оценка безопасности ИС

В условиях использования ИТ под безопасностью понимается состояние защищенности ИС от внутренних и внешних угроз.

Показатель защищенности ИС — характеристика средств систе­мы, влияющая на защищенность и описываемая определенной груп­пой требований, варьируемых по уровню и глубине в зависимости от класса защищенности.

Для оценки реального состояния безопасности ИС могут приме­няться различные критерии. Анализ отечественного и зарубежного опыта показал общность подхода к определению состояния безопас­ности ИС в разных странах. Для предоставления пользователю воз­можности оценки вводится некоторая система показателей и задается иерархия классов безопасности. Каждому классу соответствует опре­деленная совокупность обязательных функций. Степень реализации выбранных критериев показывает текущее состояние безопасности. Последующие действия сводятся к сравнению реальных угроз с ре­альным состоянием безопасности.

Если реальное состояние перекрывает угрозы в полной мере, сис­тема безопасности считается надежной и не требует дополнительных мер. Такую систему можно отнести к классу систем с полным пере­крытием угроз и каналов утечки информации. В противном случае система безопасности нуждается в дополнительных мерах защиты.

Рассмотрим кратко подходы к оценке безопасности ИС в США и в России. Вопросами стандартизации и разработки нормативных требований на защиту информации в США занимается Националь­ный центр компьютерной безопасности министерства обороны США. Центр еще в 1983 г. издал критерии оценки безопасности компьютерных систем. Этот документ обычно называется Оранжевой книгой. В 1985 г. она была утверждена в ка­честве правительственного стандарта. Оранжевая книга содержит основные требования и специфицирует классы для оценки уровня безопасности компьютерных систем. Используя эти критерии, NCSC тестирует эффективность механизмов контроля безопасности ком­пьютерных систем. Критерии, перечисленные в Оранжевой книге, делают безопасность величиной, допускающей ее измерение, и по­зволяют оценить уровень безопасности той или иной системы. Возможности анализа степени безопасности ИС привели к международ­ному признанию федерального стандарта США. NCSC считает безо­пасной систему, которая посредством специальных механизмов за­щиты контролирует доступ информации таким образом, что только имеющие соответствующие полномочия лица или процессы, выпол­няющиеся от их имени, могут получить доступ на чтение, запись, создание или удаление информации.

В Оранжевой книге приводятся следующие уровни безопасности систем:

• высший класс, обозначается как А;

• промежуточный класс — В;

• низкий уровень безопасности — С;

• класс систем, не прошедших испытания — Д.

Класс Д присваивается тем системам, которые не прошли испы­тания на более высокий уровень защищенности, а также системам, использующим для защиты лишь отдельные мероприятия или функ­ции (подсистемы безопасности).

Класс С разбивается на два подкласса (по возрастающей требо­ваний к защите). Так как С1 должен обеспечивать избирательную защиту, средства безопасности систем класса С1 должны удовлетво­рять требованиям избирательного управления доступом, обеспечивая разделение пользователей и данных. Для каждого объекта и субъекта задается перечень допустимых типов доступа (чтение, запись, печать и т.д.) субъекта к объекту. В системах этого класса обязательны идентификация (присвоение каждому субъекту персонального иден­тификатора) и аутентификация (установление подлинности) субъекта доступа, а также поддержка со стороны оборудования.

Класс С2 должен обеспечивать управляемый доступ, а также ряд дополнительных требований. В частности, в системах этого класса обязательно ведение системного журнала, в котором должны отме­чаться события, связанные с безопасностью системы. Сам журнал должен быть защищен от доступа любых пользователей, за исключе­нием сотрудников безопасности.

В системах класса В, содержащего три подкласса, должен быть полностью контролируемый доступ. Должен выполняться ряд требо­ваний, главным из которых является наличие хорошо разработанной и документированной формальной модели политики безопасности, тре­бующей действия избирательного и полномочного управления досту­пом ко всем объектам системы. Вводится требование управления ин­формационными потоками в соответствии с политикой безопасности.

Политика безопасности — представляет собой набор законов, правил и практического опыта, на основе которых строятся управле­ние, защита и распределение конфиденциальной информации.

Анализ классов безопасности показывает, что, чем он выше, тем более жесткие требования предъявляются к системе.

Разработаны также основные требования к проектной докумен­тации.

В части стандартизации аппаратных средств ИС и телекоммуни­кационных сетей в США разработаны правила стандарта TEMPEST. Этот стандарт предусматривает применение специальных мер защиты аппаратуры от паразитных излучений электромагнитной энергии, перехват кото­рой может привести к овладению охраняемыми сведениями. Стан­дарт ТЕМРЕSТ обеспечивает радиус контролируемой зоны перехвата порядка одного метра.

Это достигается специальными системотехническими, конструк­тивными и программно-аппаратными решениями.

Руководящие документы (в некоторой степени аналогичные раз­работанным NCSC) в области защиты информации разработаны Го­сударственной технической комиссией при Президенте Российской Федерации. Требования этих документов обязательны для исполне­ния только в государственном секторе либо коммерческими организа­циями, которые обрабатывают информацию, содержащую государст­венную тайну. Для остальных коммерческих структур документы но­сят рекомендательный характер.

В одном из документов, носящем название «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации», приведена классификация автоматизированных систем на классы по условиям их функционирования в целях разработки и применения обоснованных мер по достижению требуемого уровня безопасности. Устанавливаются девять классов защищенности, каждый из которых характеризуется определенной минимальной совокупностью требований по защите. Защитные мероприятия охватывают подсистемы:

• управления доступом;

• регистрации и учета (ведение журналов и статистики);

• криптографическую (использования различных механизмов шифрования);

• обеспечения целостности;

• законодательных мер;

• физических мер.

Достаточно важно использование документа «Средства вычисли­тельной техники. Защита от несанкционированного доступа к инфор­мации. Показатели защищенности». В нем определены семь классов защищенности СВТ от несанкционированного доступа к информации. Самый низкий класс седьмой, самый высокий — первый. Каж­дый класс наследует требования защищенности от предыдущего.

Методики оценки безопасности ИС как в США, так и в России позволяют оценить реальную безопасность информационной системы с отнесением ее к определенному классу защищенности. Класс защи­щенности ИС — определенная совокупность требований по защите средств ИС от несанкционированного доступа к информации.

 

Дата добавления: 2022-01-22; просмотров: 14; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая123Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.015)