КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Концепция защиты от НСД
|
|
|
|
В 1992 г. Было опубликовано несколько руководящих документов, посвященных проблеме защиты от несанкционированного доступа (НСД) к информации. Идейной основой набора руководящих документов является «Концепция защиты СВТ и АС от НСД к информации». Концепция «излагает систему взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации».
Выделяют различные способы покушения на информационную безопасность - радиотехнические, акустические, программные и т.п. Среди них НСД выделяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых средствами вычислительной техники (СВТ) или автоматизированной системой (АС). Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.
В Концепции формулируются следующие основные принципы защиты от НСД к информации:
• защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер;
• защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ;
• программно-технические средства защиты не должны существенно ухудшать основные функциональные характеристики АС (надежность, быстродействие, возможность изменения
конфигурации АС);
• неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик
оцениваемого объекта, включая технические решения и практическую реализацию средств защиты;
• защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами.
Функции системы разграничения доступа и обеспечивающих средств, предлагаемые в Концепции, по сути, близки к аналогичным положениям «Оранжевой книги».
В предлагаемой Гостехкомиссией при Президенте РФ классификации автоматизированных систем по уровню защищенности от несанкционированного доступа к информации устанавливаются девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - ЗБ и ЗА.
Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.
Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.
Требования к достаточно представительному классу защищенности - 1В должны выполняться по следующим подсистемам:
Подсистема управления доступом:
• идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;
• идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам и (или) адресам;
• идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;
• контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
• управление потоками информации с помощью меток конфиденциальности (уровень конфиденциальности накопителей
должен быть не ниже уровня конфиденциальности записываемой на них информации).
Подсистема регистрации и учета:
• регистрация входа/выхода субъектов доступа в систему/из системы или регистрация загрузки и инициализации операционной системы и ее программного останова;
• регистрация выдачи печатных (графических) документов на «твердую» копию;
• регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;
• регистрация попыток доступа программных средств к дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
• регистрация изменений полномочий субъектов доступа и статуса объектов доступа;
• автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом (маркировка должна отражать уровень конфиденциальности объекта);
• учет всех защищаемых носителей информации с помощью их любой маркировки;
• очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей;
• сигнализация попыток нарушения защиты.
Подсистема обеспечения целостности:
• целостность программных средств системы защиты информации (СЗИ) от НСД, а также неизменность программной среды (целостность СЗИ от НСД проверяется при загрузке системы по контрольным суммам компонентов СЗИ, целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации);
• физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается ЭИС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений ЭИС;
• назначение администратора (службы) защиты информации, ответственного за ведение, нормальное функционирование и контроль работы СЗИ от НСД с предоставлением терминала и необходимых средств оперативного контроля и воздействия на безопасность ЭИС;
• периодическое тестирование всех функций СЗИ от НСД с помощью специальных программных средств не реже одного раза в год;
• наличие средств восстановления СЗИ от НСД, предусматривающих ведение двух копий программных средств СЗИ от НСД и их периодическое обновление и контроль работоспособности;
• использование сертифицированных средств защиты.
Перечисленные требования составляют минимум, которому необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации.
|
|
|
|
|
Дата добавления: 2014-01-05; Просмотров: 890; Нарушение авторских прав?; Мы поможем в написании вашей работы!