Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Саратовский государственный университет им. Н.Г. Чернышевского

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Гортинский

.pdf

Скачиваний:

Добавлен:

09.06.2015

Размер:

944.13 Кб

Скачать

☆

<<< < Предыдущая 1 2 34 / 104 5 6 7 8 9 10 > Следующая >>>

Руководящий документ. Автоматизированные системы. Защита от

несанкционированного доступа к информации. «Классификация

автоматизированных систем и требования по защите информации».

(Утверждено решением председателя Государственной технической комиссии

при Президенте Российской Федерации от 30 марта 1992 г.)

Деление АС на соответствующие классы по условиям их функциониро -

вания с точки зрения защиты информации необходимо в целях разработкив

применения обоснованных мер по достижению требуемого уровня защитыш

ин-

формации

классификации

Необходимыми исходными данными для проведения.

конкретной АС являются:

- перечень защищаемых информационных ресурсов АС и их уровень

организации);

конфиденциальности (документ утверждается руководителемм

- перечень лиц, имеющих доступ к штатным средствам АС, с указанием

их уровня полномочий (документ утверждается );

- матрица доступа или полномочий субъектов доступа по отношению к

защищаемым информационным нресурсам АС;

- режим обработки данных в АС.

Как и было опред

нлено в предыдущем документе здесь указывается, что к

числу определяющихтпризнаков, по которым производится группировка АС в

различные классыа, относятся:

- наличиес в АС информации различного уровня конфиденциальности;

- уровень полномочий субъектов доступа АС на доступ к конфиденци-

информации;

альнойс

- режим обработки данных в АС - коллективный или индивидуальный.

Классы подразделяются на три группы, отличающиеся особенностями

обработки информации в АС.

Впределах каждой группы соблюдается иерархия требований по защите

взависимости от ценности (конфиденциальности) информации и, следователь-

но, иерархия классов защищенности АС.

Третья группа включает АС, в которых работает один пользователь, до-

пущенный ко всей информации АС, размещенной на носителях одного уровня

конфиденциальности. Группа содержит два класса - 3Б (конфиденциальная ин-

формация) и 3А (государственная тайна).

Вторая группа включает АС, в которых пользователи имеют одинаковые

права доступа (полномочия) ко всей информации АС, обрабатываемой и (илио )

со-

хранимой на носителях различного уровня конфиденциальности. Группав

держит два класса - 2Б (конфиденциальная информация) и 2А (государственнаяш

тайна).

Третья группа включает многопользовательские АС,.в которых одновре-

менно обрабатывается и (или) хранится информация разных уровней конфи-

денциальности. Не все пользователи имеют право доступа ко всей информации

информация)

АС. Группа содержит пять классов - 1Д, 1Г, (конфиденциальнаям

1В, 1Б и 1А (государственная тайна).

Компания Академия АТ, предлагает такую иллюстрацию.

В общем случае, комплекс программно-технических средств и организа-

ционных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

-управления доступом;

-регистрации и учета;

-криптографической;

-обеспечения целостности.

В параграфе 2 данного документа рассматриваются требования к указан-

ным подсистемам, то есть, какие требования безопасности должны выполнятьо

ся в каждом классе этих систем.

управления доступом,

регистрации и учета,

обеспечения целостности,

Требования для АС

криптографической защиты,

межсетевого взаимодействия,

антивирусной защиты,

обнаружения вторжений,

Требован яНдля ИСПДн

анализа защищенности

Классы

Подсистемы и требования

3Б

2Б

2А

1Д

1Г

1В

1Б

1А

3А

Подсистема управления доступом

Идентификация, аутентификация и конт оль доступа субъектов

в систему

е+

к терминалам, ЭВМ, узлам сети ЭВМ,

каналам связи, внешним устройствам

к программам

к томам, каталогам, файлам, записям

Управление потоками информации.

Подсистема регистрации и учѐта

входа/выхода

субъектовт доступа в/из

системы

выдачи печатных выходных документов

запуска/завершения программ и процес-

сов

доступа программ субъектов доступа к

защищаемыми

файлам

доступас

программ субъектов доступа к

ерминалам, ЭВМ, узлам сети ЭВМ, ка-

налам связи, внешним устройствам ЭВМ

р изменения полномочий субъектов досту-

па

создаваемых защищаемых объектов дос-

тупа

Учет носителей информации

Очистка (обнуление, обезличивание) ос-

вобождаемых областей оперативной па-

мяти ЭВМ и внешних накопителей.

Сигнализация попыток нарушения защи-

ты.

Подсистема криптографической защиты

Шифрование конфиденциальной инфор-

мации

Шифрование информации, принадлежа-

щей различным

субъектам доступа на

разных ключах

Использование аттестованных (сертифи-

+ г

цированных) криптографических средств

Подсистема обеспечения целостности

+е

Обеспечение

целостности

программных

средств и информации

Физическая

охрана средств вычисли-

тельной техники и носителей информа-

ции

Наличие администратора (службы) за-

щиты информации в АС

Н+

Периодическое тестирование СЗИ НСД

Наличие средств

восстановления СЗИ

НСД

Использование

сертифицированных

средств защиты

В случае объединения АС посредством межсетевого экрана, каждая из

объединяющихся АС может сохранять свой класс защищенности.

Выбор класса АС производ тся в следующей последовательности:

Разработка и анализ исходных данных.

Выявление ос овных признаков АС, необходимых для классифика-

ции.

Сравнение выявленных признаков АС с классифицируемыми.

АС соответствующего класса защиты информации от

Присвоениеу

гНСД.

Исходные данные необходимые для проведения классификации конкрет-

н й АС:

перечень защищаемых информационных ресурсов АС и их уровень

конфиденциальности

перечень лиц, имеющих доступ к штатным средствам АС, с указа-

нием их уровня полномочий

матрица доступа или полномочий субъектов доступа по отношению

к защищаемым информационным ресурсам АС режим обработки

данных в АС.

Определяющие признаки при классификации АС:

наличие в АС информации различного уровня конфиденциальн -

сти,

различия полномочий доступа субъектов АС к защищаемой инфор-

мации,

режим обработки данных в АИС (коллективный или индивидуаль-

ный).

Указанные классы АС должны защищатьсянсоответствующим образом.

Для того, что бы установить необходимый уровень защиты для каждого класса

и определить необходимые мероприятия былевведен в действие следующий до-

кумент.

Руководящий документ. Средства вычислительной техники. Защита от

несанкционированного доступаук информации. Показатели защищенности от

несанкционированного доступа к информации. (Утверждено решением

председателя Государственной технической комиссии при Президенте

Рос сийской Федерации от 30 марта 1992 г.)

Это документ устанавливает классы защищенности АС, т.е. требования,

при выполнении которых система будет считаться защищенной по требованиям

определенногой

класса, и формулирует показатели для этих классов.

Устанавливается семь классов защищенности средств вычислительной

техники от НСД к информации.

Самый низкий класс – седьмой, самый высокий – первый.

Классы подразделяются на четыре группы:

•первая группа содержит только один седьмой класс;

•вторая группа характеризуется дискреционной защитой и содержит

шестой и пятый классы;

• третья группа характеризуется мандатной защитой и содержит четвер-

тый, третий и второй классы;

• четвертая группа характеризуется верифицированной защитой и содер-

жит только первый класс.

В контексте данного деления строится система показателей защищенн -

сти, которые и излагаются в параграфе 2. данного документа.

Здесь показатели защищенности более детализированы по сравнвнию с

теми направлениями защиты, которые указаны в предыдущем документеш

–

«Концепции защиты средств вычислительной техники и автоматизированныхр

систем от несанкционированного доступа к информации». .

В данном документе учитываются следующие показатели защищенности:

- дискреционный принцип контроля доступа (для каждой пары объект-

субъект указаны допустимые действия);

мандатный принцип контроля доступа (каждому объекту и субъекту

присваиваются метки, имеющие строгую иерархию. Доступ субъекта к объек-

там определяется по соотношению меток в иерархии);

работы процесса;

- очистка памяти после прекращениян

- изоляция модулей (программы разных пользователей не имеют общих

областей памяти);

маркировка

тдокументов (при заполнении документа обязательно в его

начале и в концеауказываются реквизиты);

- защитас ввода и вывода на отчуждаемый физический носитель информа-

ции (метка передаваемой информации должна соответствовать метке устройст-

ва илис

канала ввода-вывода);

сопоставление пользователя с устройством (конкретный пользователь

может выводить информацию только на конкретное устройство);

- идентификация и аутентификация (на этапе идентификации пользова-

тель запрашивает определенные права доступа, на этапе аутентификации уста-

навливается, что идентифицированный пользователь действительно тот, за кого себя выдает);

-регистрация (фиксация действий, которые производились в системе не зависимо то того привели они к успеху или нет);

-взаимодействие пользователя с комплексом средств защиты (КСЗ) (ин-

терфейс пользователя и КСЗ должен быть структурирован и точно определен.

Он должен быть надежным. Каждый интерфейс пользователя и КСЗ должен

быть логически изолирован от других таких же интерфейсов);

- надежное восстановление (процедуры восстановления после сбови от-

казов

оборудования

должны обеспечивать полное восстановлениеш свойств

КСЗ);

и полнотой

- целостность КСЗ (периодический контроль за наличием.

функционирования всех модулей защиты);

- контроль модификации (гибкость системы должна сочетаться с контро-

лем изменений и возможность сверки элементовмсистемы с эталонами);

- контроль дистрибуции (контроль точности копирования в СВТ при из-

готовлении копий с образца);

- гарантии архитектуры (КСЗ должен обладать механизмом, гарантирую-

щим перехват диспетчером достнпа всех обращений субъектов к объектам);

- тестирование (проверка работоспособности всех модулей защиты);

- руководство длянпользователя.

Так же должнытприсутствовать руководство по КСЗ, тестовая документа-

(проектная) документация.

ция и конструкторскаяа

Рекомендуетсяс

АС, обрабатывающие информацию, составляющую

служебную

тайну, относить по уровню защищенности к классам не ниже 3Б,

2Б,

АС, обрабатывающие персональные данные, относить по уровню

защищенности к классам не ниже 3Б, 2Б и 1Г.

При этом в АС целесообразно применять СВТ:

•не ниже 5 класса - для класса защищенности АС 1Д,

•не ниже 4 класса - для класса защищенности АС 1Г

При передаче конфиденциальной информации в сетях, сопряженных с се-

тями международного обмена информацией следует руководствоваться сле-

дующими документами.

Указ Президента Российской Федерации от 17 марта 2008 г. № 351(в ред. Указа

Президента РФ от 21.10.2008 № 1510) «О мерах по обеспечению

информационной безопасности Российской Федерации при использованиио

информационно-телекоммуникационных сетей международногов

информационного обмена»

Данный документ направлен на обеспечение безопасностирпри передаче

данных через международные сети. В нем указывается, что.подключение к гло-

бальным международным компьютерам сетям (например, Интернет) компьюте-

ров, содержащих государственную или служебную тайну не допускается. В

случае, если такое подключение необходимо, томоно должно производиться с

использованием специально предназначенных для этого средств защиты ин-

формации, в том числе шифровальных (криптографических) средств, прошед-

ших в установленном законодательством Российской Федерации порядке сер-

тификацию в ФСБ РФ и (илин) получивших подтверждение соответствия в

ФСТЭК. По смыслу можно предположить, что для госучреждений, компьюте-

ры, содержащие служ бную информацию, в том числе и персональные данные

могут подключать ятк глобальной международной сети через межсетевой эк-

ФСБ, для коммерческих учреждений – сертифици-

ран, но сертифицированныйа

. Для учреждений, компьютеры которых содержат гостайну –

рованный ФСТЭКс

только с использованием криптографических средств и сертифицированных,

, ФСБ. Но в последнем случае лучше не подключать.

соответственнос

Указанный документ, опирается на ранее принятый Гостехкомиссией ни-

жеследующий руководящий документ, в котором конкретизируются меры за-

щиты информации при межсетевом обмене.

Руководящий документ. Средства вычислительной техники. «Межсетевые

экраны». Защита от несанкционированного доступа к информации. Показатели

защищенности от несанкционированного доступа к информации. (Утверждено

решением председателя Государственной технической комиссии при

Президенте Российской Федерации от 25 июля 1997 г.)

В нем дается определение, межсетового экрана (терминов брандмауэро

или файерволл в официальной документации следует избегать):

МЭ представляет собой локальное (однокомпонентное) илишфункцио-

нально-распределенное средство (комплекс), реализующее контроль за инфор-

защиту АС

мацией, поступающей в АС и/или выходящей из АС, и обеспечивает.

посредством фильтрации информации, т.е. ее анализа по совокупности крите-

риев и принятия решения о ее распространении в (из) АС.

между классами авто-

Документ служит для установления соответствиям

матизированных информационных систем и межсетевых экранов.

В п. 1.5. устанавливается пять кла

ов защищенности МЭ.

Каждый класс характеризуется определенной минимальной совокупно-

стью требований по защите информациин

Самый низкий класс защищенности - пятый, применяемый для безопас-

ного взаимодействия АСнкласса 1Д с внешней средой, четвертый - для 1Г, тре-

тий - 1В, второй - 1тБ, самый высокий - первый, применяемый для безопасного

взаимодействияаАС класса 1А с внешней средой.

В п.1.6.суказывается, что для АС класса 3Б, 2Б должны применяться МЭ

не ниже 5 класса.

сПараграф 2 посвящен требованиям, которым должны удовлетворять МЭ

тсоответствующего класса защищенности по таким параметрам как:

Управление доступом (фильтрация данных и трансляция адресов)

Идентификация и аутентификация (пользователей и администратора)

Регистрация (пакетов данных, событий и инцендентов)

Целостность (контроль)

Восстановление (состояния и критических данных после сбоя системы)

Тестирование (реализации правил фильтрации, процесса идентификации и аутентификации администратора, процесса регистрации действий администратора МЭ, процесса контроля за целостностью программной и информационной части МЭ, процедуры восстановления)

Конкретные мероприятия и рекомендации по защите конфиденциальной

информации изложены в следующем документе.

Специальные требования и рекомендации по технической защитеш

конфиденциальной информации (СТР-К) (Решение Коллегии Гостехкомиссиир

России № 7.2/02.03.2001 г.)

Данный документ содержит набор требований к технической защите ин-

формации и алгоритм действий при построении защиты АС.

требования и даются ре-

Во-первых, в этом документе устанавл ваютсям

комендации по защите речевой конфиденциальной информации. Указываются

каналы утечки информации (акустиче кие, виброакустические, электрические,

на основе побочных излучений, на одимых и радиоизлучений). Даются реко-

и дезавуации устройств, могущих послу-

мендации по подготовке помещенийн

жить неконтролируемыми передатчиками речевой информации.

основные мероприятия и документы, которые

Во-вторых, указываютсян

должны быть подготовлены при организации защиты информации, циркули-

рующей в АС. Ааименно:

оформление перечня сведений конфиденциального ха-

- документальноес

рактера (утверждается руководителем и служит для построения матрицы дос-

тупас);

- реализация разрешительной системы допуска исполнителей (пользова-

телей, обслуживающего персонала) к информации и связанным с ее использо-

ванием работам, документам (запрещено все, что явно не разрешено);

- ограничение доступа персонала и посторонних лиц в ЗП и помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации, (т.е. организация физической защиты,

<<< < Предыдущая 1 2 34 / 104 5 6 7 8 9 10 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
16.08.2019178.18 Кб14гномон.doc
#
09.06.201538.56 Mб282Голомшток. Тоталитарное искусство.pdf
#
09.06.20152.74 Mб55Голуб. Учебник.doc
#
09.06.20153.77 Mб66Голуб. Упражнения.doc
#
22.11.20187.46 Mб2Гор и районы Сар обл.DOC1.doc
#
09.06.2015944.13 Кб9Гортинский.pdf
#
09.06.2015779.26 Кб183гос лингвистика.doc
#
26.09.201939.03 Кб4гос.экзамен менеджмент.docx
#
26.08.201978.85 Кб0госник.doc
#
09.06.201542.47 Кб10Гостиничные услуги.docx
#
09.06.2015491.52 Кб62госэкзамен искусствоведение.doc