КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Требования к защищенности информации
|
|
|
|
Как правило, наибольшую сложность при решении вопросов обеспечения безопасности конкретных информационных систем представляет задача определения требований к уровню защиты критичной для субъектов информации, циркулирующей в АС. Ключом для решения задачи безопасности является учет интересов субъектов информационных отношений[7].
Исторически сложившийся подход к классификации государственной информации (данных) по уровням требований к ее защищенности основан на рассмотрении и обеспечении только одного свойства информации - её конфиденциальности (секретности). Требования же к обеспечению целостности и доступности информации, как правило, лишь косвенно фигурируют среди общих требований к системам обработки этих данных. Считается, что раз к информации имеют доступ только узкий круг доверенных лиц, то вероятность ее искажения (несанкционированного уничтожения) незначительна. Низкий уровень доверия к АС и предпочтение к бумажной информационной технологии ещё больше усугубляют ограниченность данного подхода.
Если такой подход в какой-то степени оправдан в силу существующей приоритетности свойств безопасности важной государственной информации, то это вовсе не означает, что его механический перенос в другую предметную область (с другими субъектами и их интересами) будет иметь успех.
Во многих областях деятельности доля конфиденциальной информации сравнительно мала. Для коммерческой и персональной информации, равно как и для государственной информации, не подлежащей засекречиванию, приоритетность свойств безопасности информации может быть иной. Для открытой информации, ущерб от разглашения которой несущественен, важнейшими могут быть такие качества, как доступность, целостность или защищенность от неправомерного тиражирования. К примеру, для платёжных (финансовых) документов самым важным является свойство их целостности (достоверности, неискаженности). Затем, по степени важности, следует свойство доступности (потеря платёжного документа или задержка платежей может обойтись очень дорого). Требований к обеспечению конфиденциальности отдельных платёжных документов может не предъявляться вообще.
|
|
|
Попытки подойти к решению вопросов защиты такой информации с позиций традиционного обеспечения только конфиденциальности недостаточно эффективны. Основными причинами этого являются узость существующего подхода к защите информации, отсутствие опыта и соответствующих проработок в плане обеспечения целостности и доступности информации, не являющейся конфиденциальной.
Развитие системы классификации информации по уровням требований к её защищенности предполагает введение ряда степеней (градаций) требований по обеспечению каждого из свойств безопасности информации: доступности, целостности, конфиденциальности и защищенности от тиражирования. Пример градаций требований к защищённости: нет требований; низкие; средние; высокие; очень высокие.
Количество дискретных градаций и вкладываемый в них смысл могут различаться. Главное, чтобы требования к защищённости различных свойств информации указывались отдельно и достаточно конкретно исходя из серьёзности возможного наносимого субъектам информационных отношений ущерба от нарушения каждого из свойств безопасности информации.
В 1983 году впервые в мировой практике Министерством обороны США с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем, были разработаны «Критерии безопасности компьютерных систем» («Trusted Computer System Evaluation Criteria»), получившие неформальное название «Оранжевая книга». В этом документе предложены три категории требований безопасности – политика безопасности, аудит и корректность[8]. В рамках перечисленных категорий сформулированы шесть требований, направленных непосредственно на обеспечение безопасности информации и на качество самих средств защиты.
|
|
|
В России подобные материалы появились в 1992 году, когда Государственная техническая комиссия (ГТК) при Президенте Российской Федерации подготовила пять Руководящих документов, посвященных вопросам защиты информации:
1. «Концепция защиты средств вычислительной техники от несанкционированного доступа к информации»,
2. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»,
3. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»,
4. «Временное положение по организации разработки, изготовления и эксплуатации программных технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники»,
5. «Защита от несанкционированного доступа к информации. Термины и определения».
Чуть позже, в период с 1997 по 1999 гг., появились ещё четыре Руководящих документа:
1. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»,
2. «Защита информации. Специальные защитные знаки. Классификация и общие требования»,
3. «Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации» и
4. «Защита от несанкционированного доступа к информации. Программное обеспечение средств защиты информации Классификация по уровню контроля отсутствия недекларированных возможностей».
В перечисленных документах предлагаются две группы критериев безопасности: показатели защищенности средств вычислительной техники (СВТ)[9] от НСД и критерии защищенности АС.
|
|
|
В соответствии с Руководящими документами установлено семь классов защищенности СВТ от НСД. Самые низкие требования предъявляются к системам, соответствующим седьмому классу, самые высокие – к первому. Среди требований к защищенности СВТ можно выделить такие, как:
1) надежное восстановление,
2) контроль модификации,
3) очистка памяти,
4) идентификация и аутентификация,
5) защита ввода и вывода на отчужденный физический носитель информации и т.д.
Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой в АС информации, условий эксплуатации и расположения объектов системы. Работы по защите СВТ должны производиться в соответствии с Указом Президента Российской Федерации «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»[10], постановлениями Правительства России «О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»[11], «О лицензировании деятельности по технической защите конфиденциальной информации»[12], «О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации»[13], «Временным положением по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники» и другими документами.
Для АС документы ГТК устанавливают девять классов защищенности от НСД, каждый из которых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, состав которых определяется на основании следующих признаков:
|
|
|
1) наличие в АС информации различного уровня конфиденциальности;
2) уровень полномочий пользователей АС на доступ к конфиденциальной информации;
3) режим обработки данных в АС (коллективный или индивидуальный).
В пределах каждой группы соблюдается иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы обозначается индексом N A, где N – номер группы от 1 до 3. Следующий класс обозначается N Б и т.д.
Первая группа включает в себя многопользовательские АС, обрабатывающие или хранящие информацию разных уровней конфиденциальности. Пользователи при этом имеют разные права доступа. Эта группа содержит пять классов – 1Д, 1Г, 1В, 1Б и 1А.
Вторую группу составляют классы 2Б и 2А. Сюда относятся АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабатываемой или хранимой в системе на носителях различного уровня конфиденциальности.
К третьей группе относят АС, в которых работает один пользователь, допущенный ко всей информации, размещенной на носителях одного уровня конфиденциальности. Сюда относятся два класса – 3Б и 3А.
Самые высокие требования предъявляются к классу 1А.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Наиболее характерными требованиями к перечисленным классам защищенности АС являются следующие:
1) проверка подлинности и контроль доступа субъектов к терминалам, ЭВМ, узлам сети, внешним устройствам ЭВМ и программам,
2) учет носителей информации,
3) сигнализация попыток нарушения защиты,
4) шифрование конфиденциальной информации,
5) использование сертифицированных средств защиты,
6) обеспечение целостности программных средств и обрабатываемой информации,
7) физическая охрана СВТ и носителей информации и т.д.
Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.
Узкая направленность Руководящих документов на системы военного применения обусловили такие их недостатки, как отсутствие требований к защите от угроз работоспособности, ориентация на противодействие от НСД. Политика безопасности трактуется исключительно как поддержание секретности и отсутствие НСД. По этой причине к структуре самой системы и ее функционированию не предъявляется никаких требований, определяющих защиту информации в более широком смысле.
|
|
|
|
|
Дата добавления: 2014-01-20; Просмотров: 1796; Нарушение авторских прав?; Мы поможем в написании вашей работы!