Показатели защищенности СВТ от НСД
Данный руководящий документ устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Данные показатели содержат требования защищенности СВТ от НСД к информации и применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ). Конкретные перечни показателей определяют классы защищенности СВТ и описываются совокупностью требований. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ).
Установлено шесть классов защищенности СВТ от НСД к информации. Самый низкий класс — шестой, самый высокий — первый.
Показатели защищенности и установленные требования к классам приведены в табл. 1.
Требования к защищенности автоматизированных систем
Данные требования являются составной частью критериев защищенности автоматизированных систем обработки информации от НСД. Требования сгруппированы вокруг реализующих их подсистем защиты. В отличие от остальных стандартов отсутствует раздел, содержащий требования по обеспечению работоспособности системы, но присутствует раздел, посвященный криптографическим средствам. Другие стандарты информационной безопасности, рассматривают ее исключительно в качестве механизма защиты, реализующего требования аутентификации, контроля целостности и т. д. Исключением являются только "Единые критерии", в них требования раздела криптографии касаются распределения ключей, все остальное регламентируется отдельными стандартами. Таксономия требований к средствам защиты АС от НСД приведена на рис. 1.
|
|
|
Распределение показателей защищенности по классам СВТ. Таблица 1.
| Наименование показателя | Класс защищенности | |||||
| 6 | 5 | 4 | 3 | 2 | 1 | |
| Дискреционный принцип контроля доступа | + | + | + | = | + | = |
| Мандатный принцип контроля доступа | - | - | + | = | = | = |
| Очистка памяти | - | + | + | + | = | = |
| Изоляция модулей | - | - | + | = | + | = |
| Маркировка документов | - | - | + | = | = | = |
| Защита ввода и вывода на отчужденный физический носитель информации | - | - | + | = | = | = |
| Сопоставление пользователя с устройством | - | - | + | = | = | = |
| Идентификация и аутентификация | + | = | + | = | = | = |
| Гарантии проектирования | - | + | + | + | + | + |
| Регистрация | - | + | + | + | = | = |
| Взаимодействие пользователя с КСЗ | - | - | - | + | = | = |
| Надежное восстановление | - | - | - | + | = | = |
| Целостность КСЗ | - | + | + | + | = | = |
| Контроль модификации | - | - | - | - | + | = |
| Контроль дистрибуции | - | - | - | - | + | = |
| Гарантии архитектуры | - | - | - | - | - | + |
| Тестирование | + | + | + | + | + | = |
| Руководство пользователя | + | = | = | = | = | = |
| Руководство по КСЗ | + | + | = | + | + | = |
| Текстовая документация | + | + | + | + | + | = |
| Конструкторская (проектная) документация | + | + | + | + | + | + |
Обозначения: "-" - нет требований к данному классу;
|
|
|
"+" - новые или дополнительные требования;
"=" - требования совпадают с требованиями к СВТ предыдущего класса;
"КСЗ" - комплекс средств защиты.
Классы защищенности автоматизированных систем
Документы ГТК устанавливают девять классов защищенности АС от НСД, каждый из которых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отличающиеся спецификой обработки информации в АС. Группа АС определяется на основании следующих признаков:
|
|
|
• наличие в АС информации различного уровня конфиденциальности;
• уровень полномочий пользователей АС на доступ к конфиденциальной информации;
• режим обработки данных в АС (коллективный или индивидуальный).
В пределах каждой группы соблюдается иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом NA, где N — номер группы (от 1 до 3). Следующий класс обозначается NE и т.д.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — ЗБ и ЗА.
Вторая группа включает АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабатываемой и/или хранимой в АС на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.
Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. Не все пользователи имеют равные права доступа. Группа содержит пять классов-1Д, 1Г, 1В, 1Б и 1А.
|
|
|
В таб. 2 приведены требования к подсистемам защиты для каждого класса.
Разработка руководящих документов ГТК явилась следствием бурно развивающегося в России процесса внедрения информационных технологий. До начала 90-х годов необходимости в подобных документах не было, т. к. в большинстве случаев обработка и хранение конфиденциальной информации осуществлялись без применения вычислительной техники. Что позволяет трактовать данные документы как первую стадию формирования отечественных стандартов в области информационной безопасности.
На разработку этих документов наибольшее влияние оказала "Оранжевая книга", однако это влияние в основном отражается в ориентированности обоих документов на системы военного применения и в использовании единой универсальной шкалы оценки степени защищенности.
К недостаткам данного стандарта относятся отсутствие требований к защите от угроз работоспособности, ориентация на противодействие НСД и отсутствие требований к адекватности реализации политики безопасности. Понятие "политика безопасности" трактуется как поддержание режима секретности и отсутствие НСД. Из-за этого средства защиты ориентируются исключительно на противодействие внешним угрозам, а к структуре самой системы и ее функционированию не предъявляется никаких требований. Ранжирование требований по классам защищенности сведено до определения наличия/отсутствия заданного набора механизмов защиты, что существенно снижает гибкость требований и возможность их практического применения.
Несмотря на указанные недостатки документы ГТК заполнили правовой вакуум в области стандартов информационной безопасности в нашей стране и на определенном этапе оперативно решили актуальную проблему.
Требования к классам защищенности АС. Таблица 2.
| Подсистемы и требования | Классы | ||||||||
| ЗБ | ЗА | 2Б | 2А | 1Д | 1Г | IB | 1Б | 1А | |
| 1. Подсистема управления доступом 1.1. Идентификация. Проверка подлинности и контроль доступа субъектов в систему, | + | + | + | + | + | + | + | + | + |
| к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, | + | + | + | + | + | ||||
| к программам, | + | + | + | + | + | ||||
| к томам, каталогам, файлам, записям, полям записей. | + | + | + | + | + | ||||
| 1.2. Управление потоками информации. | + | + | + | + | |||||
| 2. Подсистема регистрации и учета 2.1.Регистрация и учет: входа/выхода субъектов доступа в/из системы (узла сети), | + | + | + | + | + | + | + | + | + |
| выдачи печатных (графических) выходных документов, | + | + | + | + | + | + | |||
| запуска/завершения программ и процессов (заданий, задач), | + | + | + | + | + | ||||
| доступа программ к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи, | + | + | + | + | + | ||||
| доступа программ к терминалам ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, каталогам, файлам, записям, полям записей, | + | + | + | + | + | ||||
| изменения полномочий субъектов доступа, | + | + | + | ||||||
| создаваемых защищаемых объектов доступа. | + | + | + | + | |||||
| 2.2. Учет носителей информации | + | + | + | + | + | + | + | + | + |
| 2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | + | + | + | + | + | + | |||
| 2.4. Сигнализация попыток нарушения защиты | + | + | + | ||||||
| 3. Криптографическая подсистема | |||||||||
| 3.1. Шифрование конфиденциальной информации | + | + | + | ||||||
| 3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | + | ||||||||
| 3.3. Использование аттестованных (сертифицированных) криптографических средств | + | + | + | ||||||
| 4. Подсистема обеспечения целостности | |||||||||
| 4.1. Обеспечение целостности программных средств и обрабатываемой информации | + | + | + | + | + | + | + | + | + |
| 4.2. Физическая охрана средств вычислительной техники и носителей информации | + | + | + | + | + | + | + | + | + |
| 4.3. Наличие администратора (службы) защиты информации в АС | + | + | + | + | |||||
| 4.4. Периодическое тестирование СЗИ НСД | + | + | + | + | + | + | + | + | + |
| 4.5. Наличие средств восстановления СЗИ НСД | + | + | + | + | + | + | + | + | + |
| 4.6. Использование сертифицированных средств защиты | + | + | + | + | + | ||||
Обозначения: "+" - требование к данному классу присутствует;
"СЗИ НСД" - система защиты информации от несанкционированного доступа.
Задание на самоподготовку:
1. Повторить теоретический материал занятия.
2. Изучить принципы построения и структурную организации стандартов информационной безопасности Российской Федерации.
3. Изучить критерии и требования руководящих документов.
Контрольные вопросы:
1. Какова роль стандартов информационной безопасности?
2. Какая главная задача стандартов информационной безопасности?
3. Перечислите наиболее значимыми стандарты информационной безопасности (в хронологическом порядке).
4. Перечислите показатели защищенности СВТ от НСД.
5. Каковы требования к защищенности автоматизированных систем?
6. Перечислите классы защищенности автоматизированных систем.
7. Каковы недостатки Российского стандарта информационной безопасности?
Литература:
1. Герасименко В.А., Малюк А.А. Основы защиты информации.-М.: ООО «Инкомбук» в ППО «Известия», 1997. – 537 с.
2. Зегжда П.Д. Теория и практика обеспечения информационной безопасности. М.: Издательство Агенства "Яхтсмен",-1996. 192 с. Серия "Защита информации"
3. Сборник руководящих документов по защите информации от несанкционированного доступа
Дата добавления: 2018-05-13; просмотров: 1163; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!