Основные положения руководящих документов Гостехкомиссии России
Министерство Внутренних Дел Российской Федерации
ВОРОНЕЖСКИЙ ИНСТИТУТ
Кафедра информационной безопасности
ПРАКТИЧЕСКОЕ ЗАНЯТИЕ№ 3
“ОБЗОР СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
РОССИЙСКОЙ ФЕДЕРАЦИИ”
Методические РЕКОМЕНДАЦИИ
к практическому занятию № 3 по дисциплине
"Программно-аппаратные средства обеспечения информационной безопасности" для курсантов 4 курса РТФ специальности 201800 -
Защищенные телекоммуникационные системы
дневной формы обучения.
Воронеж 2002
Обсуждено и одобрено на заседании методической секции.
Протокол № ____ от “____”_января_2002 г.
Обсуждено и одобрено на заседании кафедры ИБ
Протокол № ____ от “____”_января_2002 г.
Алексеенко С.П.
Обзор стандартов информационной безопасности Российской федерации Методические рекомендации к практическому занятию. Воронеж: Воронежский институт МВД России, 2002 г.
© Воронежский институт МВД России, 2002
Практическое занятие №3
“ОБЗОР СТАНДАРТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
РОССИЙСКОЙ ФЕДЕРАЦИИ”
Время: 2 ч.
Цель занятия:
- изучение слушателями принципов построения и структурной организации стандартов информационной безопасности Российской Федерации.
- формирование у слушателей углубленных знаний о значении, структуре и роли стандартов информационной безопасности;
- изучение критериев и требований стандартов безопасности.
|
|
|
Учебные вопросы:
1. Основные направления применения технических систем охранно-пожарной сигнализации.
2. Основные элементы структура и принцип действия технических систем охранно-пожарной сигнализации.
3. Порядок оборудования объектов и эксплуатации систем охранно-пожарной сигнализации.
Место проведения занятий: лаб. № 215, № 510.
Методическое обеспечение:
Сборник руководящих документов по защите информации от несанкционированного доступа.
Методические указания по отработке учебных вопросов
1. Роль стандартов информационной безопасности.
С использованием /1, 2 / изучить необходимость использования стандартов информационной безопасности для решения организационных вопросов защиты программ и данных.
Любой проект может получить успешное завершение только в том случае, если его участники хорошо представляют, что они хотят получить в результате. Только четкое понимание цели позволит выбрать оптимальный путь ее достижения. Следовательно, прежде чем приступить к созданию защищенной системы обработки информации, надо сперва получить четкий и недвусмысленный ответ на вопрос: что представляет собой защищенная система?
|
|
|
Безопасность является качественной характеристикой системы, ее нельзя измерить в каких-либо единицах, более того, нельзя даже с однозначным результатом сравнивать безопасность двух систем — одна будет обладать лучшей защитой в одном случае, другая — в другом. Кроме того, у каждой группы специалистов, занимающихся проблемами безопасности информационных технологий, имеется свой взгляд на безопасность и средства ее достижения, а, следовательно, и свое представление о том, что должна представлять собой защищенная система. Необходимо определить, что является целью исследований, что мы хотим получить в результате и чего в состоянии достичь ?
Для ответа на эти вопросы и согласования всех точек зрения на проблему создания защищенных систем разработаны и продолжают разрабатываться стандарты информационной безопасности. Это документы, регламентирующие основные понятия и концепции информационной безопасности на государственном или межгосударственном уровне, определяющие понятие "защищенная система" посредством стандартизации требований и критериев безопасности, образующих шкалу оценки степени защищенности ВС.
В соответствии с этими документами ответ на поставленный вопрос в общем виде звучит так: защищенная система обработки информации — это система отвечающая тому или иному стандарту информационной безопасности. Конечно, это условная характеристика, она зависит от критериев, по которым оценивается безопасность, но у нее есть одно неоспоримое преимущество — объективность. Именно это позволяет осуществлять сопоставление степени защищенности различных систем относительно установленного стандарта.
|
|
|
Главная задача стандартов информационной безопасности — создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Каждая из этих групп имеет свои интересы и свои взгляды на проблему информационной безопасности.
Потребители, во-первых, заинтересованы в методике, позволяющей обоснованно выбрать продукт, отвечающий их нуждам и решающий их проблемы, для чего им необходима шкала оценки безопасности и, во-вторых, нуждаются в инструменте, с помощью которого они могли бы формулировать свои требования производителям. При этом потребителей интересуют исключительно характеристики и свойства конечного продукта, а не методы и средства их достижения. С этой точки зрения идеальная шкала оценки безопасности должна была бы выглядеть примерно следующим образом:
|
|
|
Уровень 1. Система для обработки информации с грифом не выше
"для служебного пользования",
Уровень 2. Система для обработки информации с грифом не выше
"секретно", и т. д.
Требования безопасностиобязательно противоречат функциональным требованиям (удобству работы, быстродействию и т. д.), накладывают ограничения на совместимость и, как правило, вынуждают отказаться от очень широко распространенных и поэтому незащищенных прикладных программных средств.
Производители также нуждаются в стандартах, как средстве сравнения возможностей своих продуктов, и в применении процедуры сертификации как механизме объективной оценки их свойств, а также в стандартизации определенного набора требований безопасности, который мог бы ограничить фантазию заказчика конкретного продукта и заставить его выбирать требования из этого набора. С точки зрения производителя требования должны быть максимально конкретными и регламентировать необходимость применения тех или иных средств, механизмов, алгоритмов и т. д. Кроме того, требования не должны противоречить существующим парадигмам обработки информации, архитектуре вычислительных систем и технологиям создания информационных продуктов. Этот подход. не учитывает нужд пользователей (а ведь это главная задача разработчика) и пытается подогнать требования защиты под существующие системы и технологии, а это далеко не всегда возможно осуществить без ущерба для безопасности.
Эксперты по квалификации и специалисты по сертификации рассматривают стандарты как инструмент, позволяющий им оценить уровень безопасности, обеспечиваемый продуктами информационных технологий, и предоставить потребителям возможность сделать обоснованный выбор. Производители в результате квалификации уровня безопасности получают объективную оценку возможностей своего продукта. Эксперты по квалификации находятся в двойственном положении: с одной стороны они как и производители заинтересованы в четких и простых критериях, а с другой стороны, они должны дать обоснованный ответ пользователям — удовлетворяет продукт их нужды, или нет, ведь к конечном счете именно они принимают на себя ответственность за безопасность продукта, получившего квалификацию уровня безопасности и прошедшего сертификацию.
Таким образом, перед стандартами информационной безопасности стоит непростая задача — примирить эти три точки зрения и создать эффективный механизм взаимодействия всех сторон. Причем "ущемление" потребностей хотя бы одной из них приведет к невозможности взаимопонимания и взаимодействия и, следовательно, не позволит решить общую задачу — создание защищенной системы обработки информации. Необходимость в подобных стандартах была осознана уже достаточно давно, и в этом направлении достигнут существенный прогресс, закрепленный в новом поколении документов разработки 90-годов. Наиболее значимыми стандартами информационной безопасности являются (в хронологическом порядке):
"Критерии безопасности компьютерных систем министерства обороны США", Руководящие документы Гостехкомиссии России (только для нашей страны), "Европейские критерии безопасности информационных технологий", "Федеральные критерии безопасности информационных технологий США", "Канадские критерии безопасности компьютерных систем" и "Единые критерии безопасности информационных технологий".
Основные положения руководящих документов Гостехкомиссии России
Материал данного вопроса содержится в / 3, 4 /.
В 1992 г. Гостехкомиссия (ГТК) при Президенте Российской федерации (РФ) опубликовала пять Руководящих документов, посвященных вопросам защиты от несанкционированного доступа к информации. Рассмотрим важнейшие их них — "Концепция защиты средств вычислительной техники от несанкционированного доступа к информации", "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации", "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации".
Идейной основой этих документов является "Концепция защиты средств вычислительной техники от несанкционированного доступа к информации (НСД)", содержащая систему взглядов ГТК на проблему информационной безопасности и основные принципы защиты компьютерных систем.
Руководящие документы Гостехкомиссии России устанавливают некоторые термины и определения, составляющие базовые концепции безопасности компьютерных систем.
Руководящие документы ГТК предлагают две группы критериев безопасности — показатели защищенности средств вычислительной техники (СВТ) от НСД и критерии защищенности автоматизированных систем (АС) обработки данных. Первая группа позволяет оценить степень защищенности (правда только относительно угроз одного типа — НСД) отдельно поставляемых потребителю компонентов ВС, а вторая рассчитана на полнофункциональные системы обработки данных.
Дата добавления: 2018-05-13; просмотров: 336; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!