Концепция защиты от НСД Госкомиссии при Президенте РФ

В 1992 г. Гостехкомиссия при Президенте РФ опубликовала пять руководящих документов, посвященных проблеме защиты от несанкционированного доступа (НСД) к информации [38-42]. Идейной основой набора руководящих документов является «Концепция защиты СВТ и АС от НСД к информации». Концепция «излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации».

Выделяют различные способы покушения на информационную безопасность - радиотехнические, акустические, программные и т.п. Среди них НСД выделяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых средствами вычислительной техники (СВТ) или автоматизированной системой (АС). Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.

В Концепции формулируются следующие основные принципы защиты от НСД к информации:

· защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер;

· защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ;

· программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС);

· неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты;

· защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами.

Функции системы разграничения доступа и обеспечивающих средств, предлагаемые в Концепции, по сути близки к аналогичным положениям «Оранжевой книги».

В предлагаемой Гостехкомиссией при Президенте РФ классификации автоматизированных систем по уровню защищенности от несанкционированного доступа к информации устанавли­ваются девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - и .

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - и .

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и .

В работах [12, 40] излагаются требования к достаточно представительному классу защищенности - по следующим подсистемам:

Подсистема управления доступом:

· идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;

· идентификация терминалов, компьютеров, узлов компьютерной сети, каналов связи, внешних устройств компьютеров по логическим именам и (или) адресам;

· идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

· контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;

· управление потоками информации с помощью меток конфиденциальности (уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на них информации).

Подсистема регистрации и учета:

· регистрация входа/выхода субъектов доступа в систему/из системы или регистрация загрузки и инициализации операционной системы и ее программного останова;

· регистрация выдачи печатных (графических) документов на «твердую» копию;

· регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;

· регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа: терминалам, компьютерам, узлам компьютерной сети, линиям (каналам) связи, внешним устройствам компьютеров, программам, томам, каталогам, файлам, записям, полям записей;

· регистрация изменений полномочий субъектов доступа и статуса объектов доступа;

· автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом (маркировка должна отражать уровень конфиденциальности объекта);

· учет всех защищаемых носителей информации с помощью их любой маркировки;

· очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти компьютеров и внешних накопителей;

· сигнализация попыток нарушения защиты.

Подсистема обеспечения целостности:

· целостность программных средств системы защиты информа­ции (СЗИ) от НСД (несанкционированного), а также неизменность программной среды (целостность СЗИ от НСД проверяется при загрузке системы по контрольным суммам компонентов СЗИ, целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации);

· физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается ЭИС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений ЭИС;

· назначение администратора (службы) защиты информации, ответственного за ведение, нормальное функционирование и контроль работы СЗИ от НСД с предоставлением терминала и необходимых средств оперативного контроля и воздействия на безопасность ЭИС;

· периодическое тестирование всех функций СЗИ от НСД с помощью специальных программных средств не реже одного раза в год;

· наличие средств восстановления СЗИ от НСД, предусматривающих ведение двух копий программных средств СЗИ от НСД и их периодическое обновление и контроль работоспособности;

· использование сертифицированных средств защиты. Перечисленные требования составляют минимум, которому необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации.








Дата добавления: 2015-07-30; просмотров: 1033;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.005 сек.