Студопедия

КАТЕГОРИИ:


Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)

Оценка безопасности ИС

 

Для предоставления пользователю возможности оценки вводится некоторая система показателей и задается иерархия классов безопасности. Каждому классу соответствует определенная совокупность обязательных функций. Степень реализации выбранных критериев показывает текущее состояние безопасности: Последующие действия сводятся к сравнению реальных угроз с реальным состоянием безопасности.

Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается надежной и не требует дополнительных мер. Такую систему можно отнести к классу систем с полным перекрытием угроз и каналов утечки информации. В противном случае система безопасности нуждается в дополнительных мерах зашиты.

Вопросами стандартизации и разработки нормативных требований на защиту информации в США занимается Национальный центр компьютерной безопасности и министерства обороны США (NCSC - National Computer Security Center). Центр еще в 1983 г. издал критерии оценки безопасности компьютерных систем (TCSEC Trusted Computer System Evaluation Criteria). Этот документ обычно называется Оранжевой книгой.

В Оранжевой книге приводятся следующие уровни безопасности систем:

• высший класс, обозначается как А;

• промежуточный класс — В;

• низкий уровень безопасности — С;

• класс систем, не прошедших испытания — Д.

Класс Д присваивается тем системам, которые не прошли испытания на более высокий уровень защищенности, а также системам, использующим для защиты лишь отдельные мероприятия или функции (подсистемы безопасности).

Класс С разбивается на два подкласса (по возрастающей требований к защите). Так как класс С1 должен обеспечивать избирательную защиту, средства безопасности систем класса С1 должны удовлетворять требованиям избирательного управления доступом, обеспечивая разделение пользователей и данных. Для каждого объекта и субъекта задается перечень допустимых типов доступа (чтение, запись, печать и т.д.) субъекта к объекту. В системах этого класса обязательны идентификация (присвоение каждому субъекту персонального идентификатора) и аутентификация (установление подлинности) субъекта доступа, а также поддержка со стороны оборудования.

Класс С2 должен обеспечивать управляемый доступ, а также ряд дополнительных требований. В частности, в системах этого класса обязательно ведение системного журнала, в котором должны отмечаться события, связанные с безопасностью системы. Сам журнал должен быть защищен от доступа любых пользователей, за исключением сотрудников безопасности.

В системах класса В, содержащего три подкласса, должен быть полностью контролируемый доступ. Должен выполняться ряд требований, главным из которых является наличие хорошо разработанной и документированной формальной модели политики безопасности, требующей действия избирательного и полномочного управления доступом ко всем объектам системы. Вводится требование управления информационными потоками в соответствии с политикой безопасности.

Политика безопасности - представляет собой набор законов, правил и практического опыта, на основе которых строятся управление, защита и распределение конфиденциальной информации.

Анализ классов безопасности показывает, что, чем он выше, тем более жесткие требования предъявляются к системе.

Отработаны также основные требования к проектам документации.

В части стандартизации аппаратных средств ИС и телекоммуникационных сетей в США разработаны правила стандарта TEMPEST (Transient Electromagnetic Pulse Emanations Standard). Этот стандарт предусматривает применение специальных мер зашиты аппаратуры от паразитных излучений электромагнитной энергии, перехват которой может привести к овладению охраняемыми сведениями. Стандарт TEMPEST обеспечивает радиус контролируемой зоны перехвата порядка одного метра.

Это достигается специальными системотехническими, конструктивными и программно-аппаратными решениями.

Руководящие документы (в некоторой степени, аналогичные разработанным NCSC) в области зашиты информации разработаны Государственной технической комиссией при Президенте Российской Федерации1. Требования этих документов обязательны для исполнения только в государственном секторе либо коммерческими организациями, которые обрабатывают информацию, содержащую государственную тайну. Для остальных коммерческих структур документы носят рекомендательный характер.

В одном из документов, носящим название «Автоматизированные системы. Зашита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации», приведена классификация автоматизированных систем на классы по условиям их функционирования в целях разработки применения обоснованных мер по достижению требуемого уровня безопасности. Устанавливаются девять классов защищённости, каждым из которых характеризуется определенной минимальной совокупностью требований по защите. Защитные мероприятия охватывают подсистемы

• управления доступом;

• регистрации и учета (веление журналов и статистики);

• криптографическую (использования различных механизмов шифрования);

• обеспечения целостности;

• законодательных мер;

• физических мер.

Достаточно важно использование документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности». В нем определены семь классов защищенности СВТ от несанкционированного доступа к информации. Самый низкий класс седьмой, самый высокий - первый. Каждый класс наследует требования защищенности oт предыдущего.

Класс защищенности ИС - определенная совокупность требований по защите средств ИС от несанкционированного доступа к информации.

<== предыдущая лекция | следующая лекция ==>
Криптографические методы зашиты информации | Методы и средства построения систем информационной безопасности. Их структура
Поделиться с друзьями:


Дата добавления: 2014-01-04; Просмотров: 348; Нарушение авторских прав?; Мы поможем в написании вашей работы!


Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет



studopedia.su - Студопедия (2013 - 2024) год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! Последнее добавление




Генерация страницы за: 0.009 сек.