На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Требования к безопасности компьютерных сетей в РФ

Руководящие документы, относящиеся к области защиты информации для компь­ютерных сетей, разработаны Государственной технической комиссией при Президен­те Российской Федерации. Требования всех этих документов обязательны для испол­нения только в государственном секторе, либо коммерческими организациями, которые обрабатывают информацию, содержащую государственную тайну. Для остальных ком­мерческих структур документы носят рекомендательный характер.
Рассмотрим содержание одного из документов, отражающих требования по защите информации от несанкционированного доступа. Полное название документа — матизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».
В этом документе приведена классификация автоматизированных систем на клас­сы по условиям их функционирования с точки зрения защиты информации в целях
разработки и применения обоснованных мер по достижению требуемого уровня безо­пасности.
Устанавливается девять классов защищенности (табл. 3.1), каждый из которых ха­рактеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации. В пределах каждой группы соблю­дается иерархия требований по защите в зависи­мости от ценности (конфиденциальности) инфор-и, следовательно, иерархия классов защищенности. Рассмотрим показатели каждой из
групп, начиная с последней.
Третья группа включает в которых
работает один пользователь, допущенный ко всей
информации, размещенной на носителях одного
уровня конфиденциальности. Группа содержит два класса —ЗБ и ЗА.

Таблица 3.1. Классы защищенности компьютерных сетей


Требования

Классы

 

ЗБ

ЗА

25

1Б |

К подсистеме управления доступом

Идентификация, проверка подлинности и контроль доступа субъектов:

- к системе

X

X

X

X

X

X

X

X

X

- к терминалам, ЭВМ, узлам сети

X

X

X

X

X

ЭВМ, каналам связи, внешним
устройствам ЭВМ

 

 

 

 

 

 

 

 

 

- к программам

X

X

X

X

X

- к томам, каталогам, файлам,

X

X

X

X

X

записям

 

 

 

 

 

 

 

 

 

Управление потоками информации

X

X

X

X

К подсистеме регистрации и учета

Регистрация и учет:

- входа (выхода) субъектов в(из) системы (узла сети)

X

X

X

X

X

X

X

X

X

- выдачи печатных (графических)

X

X

X

X

X

X

выходных документов

 

 

 

 

 

 

 

 

 

- запуска (завершения) программы и процессов (заданий, задач)

X

X

X

X

X

X

- доступа программ субъектов

X

 

X

X

X

X

доступа к защищаемым файлам,

 

 

 

 

 

 

 

 

 

включая их создание и удаление,

 

 

 

 

 

 

 

 

 

передачу по линиям и каналам

 

 

 

 

 

 

 

 

 

связи

 

 

 

 

 

 

 

 

 

- доступа программ субъектов

-

X

X

X

X

X

доступа к терминалам, ЭВМ, узлам

 

 

 

 

 

 

 

 

 

сети ЭВМ, каналам связи, внешним

 

 

 

 

 

 

 

 

 

устройствам ЭВМ, программным

 

 

 

 

 

 

 

 

 

томам, каталогам, файлам, записям, полям записей

 

 

 

 

 

 

 

 

 

- изменения полномочий субъектов

X

X

X

доступа

 

 

 

 

 

 

 

 

 

- создаваемых защищаемых
объектов доступа

X

X

X

X

Учет носителей информации

X

X

X

X

X

X

X

X

X

Очистка (обнуление, обезличивание) оперативной памяти и внешних
накопителей

 

X

 

X

 

X

X

X

X

Сигнализация попыток нарушения

X

X

X

X

защиты

 

 

 

 

 

 

 

 

 

К криптографической подсистеме

Шифрование конфиденциальной
информации

 

X

X

X

Шифрование информации,
принадлежащей различным субъектам
доступа (группам субъектов) на разных

 

 

 

 

 

 

 

 

X

ключах

 

 

 

 

 

 

 

 

 

Использование аттестованных (сертифицированных)
криптографических средств

 

 

 

 

 

 

 

X

X


Продолжение табл. 3.1


К подсистеме обеспечения целостности

Обеспечение целостности программных средств и обрабатываемой информации

X

X

X

X

X

X

X

X

X

Физическая охрана средств вычислительной техники и носителей информации

X

X

X

X

X

X

X

X

X

Наличие администратора (службы) защиты информации

X

X

X

X

Периодическое тестирование СЗИ

X

X

X

X

X

X

X

X

X

Наличие средств восстановления СЗИ

X

X

X

X

X

X

X

X

X

Использование сертифицированных средств защиты

X

X

X

X

X

Вторая группа включает системы, в которых пользователи имеют одинаковые пра­ва доступа ко всей информации, обрабатываемой и/или хранимой на носителях раз­личного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.
Первая группа включает многопользовательские системы, в которых одновремен­но обрабатывается и/или хранится информация разных уровней конфиденциальности. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А
В общем плане защитные мероприятия охватывают 4 подсистемы: управления доступом; регистрации и учета;
□ криптографической;
О обеспечения целостности.
Показатели защищенности средств вычислительной техники от НСД приведены в документе «Средства вычислительной техники. Защита от несанкционированного до­ступа к информации. Показатели защищенности». В нем определены 7 классов защи­щенности этих средств от НСД к информации. Самый низкий класс — седьмой, самый высокий — первый. Каждый класс наследует требования защищенности от предыду­щего.
Изложенные ниже требования к показателям защищенности предъявляются к об­щесистемным программным средствам и операционным системам. Все средства за­щиты вычислительной техники представляют собой единый комплекс. В зависимости от реализованных моделей защиты и надежности их проверки классы подразделяются на 4 группы.
Первая группа включает только седьмой класс (минимальная защищенность).
Вторая группа характеризуется избирательной защитой и включает шестой и пя­тый классы. Избирательная защита предусматривает контроль доступа поименован­ных субъектов к поименованным объектам системы. При этом для каждой пары
«субъект-объект» должны быть определены разрешенные типы доступа. Контроль до­ступа применяется к каждому объекту и каждому субъекту (индивиду или группе рав­ноправных индивидов).
Третья группа характеризуется полномочной защитой и включает четвертый, тре­тий и второй классы. Полномочная защита предусматривает присвоение каждому субъекту и объекту системы классификационных меток, указывающих его место в со­


ответствующей иерархии. Классификационные метки на объекты устанавливаются пользователем системы или специально выделенным субъектом. Обязательным тре­бованием для классов, входящих в эту группу, является реализация диспетчера досту­па (reference monitor — монитор ссылок). Контроль доступа должен осуществляться применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов. Решение о санкционировании запроса на доступ должно приниматься только при одновременном разрешении его и избирательными, и полномочными правилами разграничения доступа.
Четвертая группа характеризуется верифицированной защитой и содержит только
первый класс.
Для присвоения класса защищенности система должна иметь:
□ руководство администратора по системе; руководство пользователя;
□ тестовую и конструкторскую документацию.
В качестве примера рассмотрим требования к подсистеме обеспечения целостнос­ти класса 2А.
Подсистема обеспечения целостности класса 2А должна обеспечивать целостность программных средств системы защиты информации от несанкционированного досту­па, целостность обрабатываемой информации, а также неизменность программной
среды. При этом:
G целесообразность проверяется при загрузке системы по наличию имен (иденти­фикаторов) компонентов системы защиты
О целостность программной среды обеспечивается отсутствием в системе средств разработки и отладки программ,
□ физическая охрана средств (устройств и носителей информации) предусматри­вает постоянную охрану территории и здания, где размещается система, с помо­щью технических средств и специального персонала, использование строгого пропускного режима, специальное оборудование помещений;
□ должен быть администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль' работы системы защиты ин­формации от НСД;
□ необходимо периодическое тестирование функций системы защиты информа­ции от НСД при изменении программной среды и персонала системы с помо­щью тест-программ, имитирующих попытки НСД;
должны быть в наличии средства восстановления защиты, предусматривающие ведение двух копий программных средств защиты, их периодическое обновле­ние и контроль работоспособности;
следует использовать сертифицированные средства защиты. Тщательный анализ таких требований позволит оценить реальную безопасность любой информационной системы с отнесением ее к определенному классу защищен­ности.


 

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика