2015-05-27
353
Государственная Техническая Комиссия при Президенте Российской Федерации является основным государственным органом в России, курирующем вопросы защиты информации от НСД. Руководящие документы, Положения и Постановления Гостехкомиссии России формируют большую часть отечественной нормативной базы в области защиты информации.
Наиболее полную информацию о деятельности Гостехкомиссии России, включая тексты документов, можно найти на их официальном сайте по адресу:http ://www.fstec.ru
Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, также выражены в РД Гостехкомиссии РФ “АС. Защита от НСД к информации. Классификация АС и требования по защите информации.” и “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”.
РД “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации” устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:
|
|
|
· первая группа содержит только один седьмой класс;
· вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
· третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
· четвертая группа характеризуется верифицированной защитой содержит только первый класс.
РД “АС. Защита от НСД к информации. Классификация АС и требования по защите информации” устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
· наличие в АС информации различного уровня конфиденциальности;
· уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
· режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.
|
|
|
При анализе системы защиты внешнего периметра корпоративной сети, в качестве основных критериев используется РД “"СВТ. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности МЭ. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:
1. Управление доступом
2. Идентификация и аутентификация
3. Регистрация событий и оповещение
4. Контроль целостности
5. Восстановление работоспособности
На основании показателей защищенности определяется следующие пять классов защищенности МЭ:
1. Простейшие фильтрующие маршрутизаторы - 5 класс
2. Пакетные фильтры сетевого уровня - 4 класс
3. Простейшие МЭ прикладного уровня - 3 класс
4. МЭ базового уровня - 2 класс
5. Продвинутые МЭ - 1 класс
МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию “Особой важности”. Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки “совершенно секретной” информации и т. п.
В настоящее время описанные РД уже устарели и содержащаяся в них классификация АС, СВТ и МЭ не может признаваться состоятельной. Достаточно заметить, что классификация АС и СВТ, разрабатывалась без учета распределенной (сетевой) природы современных АС, а все современные коммерческие МЭ по своим возможностям существенно превосходят требования 1-го класса защищенности (за исключением требования по использованию сертифицированных криптографических алгоритмов).
Развитием нормативной базы в этом направлении является разработка “Профилей защиты” для различных классов СВТ, АС и МЭ на базе “Общих критериев”. В настоящее время создано уже значительное количество англоязычных профилей защиты. Значительные усилия в этом направлении предпринимаются и в России под эгидой Гостехкомиссии России.
Проект РД Гостехкомиссии России “Специальные требования и рекомендации по защите конфиденциальной информации” (СТР-К), официально еще не принятый, содержит достаточно полный набор требований и рекомендаций организационного уровня по защите речевой информации, информации, обрабатываемой средствами вычислительной техники, а также по защите информации при подключении к сетям общего пользования.
В документе рассматриваются в том числе следующие вопросы:
· Защита информации на рабочих местах на базе автономных ПЭВМ;
· Защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ;
· Защита информации в локальных вычислительных сетях;
· Защита информации при межсетевом взаимодействии;
· Защита информации при работе с системами управления базами данных.
СТР-К может использоваться при проведении аудита безопасности АС для оценки полноты и правильности реализации организационных мер защиты информации в АС.
Аттестации АС и сертификация СВТ по требованиям безопасности информации, аудит и обследование безопасности, в отдельных случаях, предполагают использование помимо перечисленных, и других документов Гостехкомиссии России.
