В общем случае в нашей стране при решении задач защиты информации должно обеспечиваться соблюдение следующих указов Президента, федеральных законов, постановлений Правительства Российской Федерации, РД Гостехкомиссии России и других нормативных документов:
- Доктрина информационной безопасности Российской Федерации;
- Указ Президента РФ от 6 марта 1997 г. ╧ 188 "Об утверждении перечня сведений конфиденциального характера";
- Закон Российской Федерации "Об информации, информатизации и защите информации" от 20.02.95 N 24-ФЗ;
- Закон Российской Федерации "О связи" от 16.02.95 N 15-ФЗ;
- Закон Российской Федерации "О правовой охране программ для электронных вычислительных машин и баз данных" от 23.09.92 N3523-1;
- Закон Российской Федерации "Об участии в международном информационном обмене" от 04.07.96 N 85-ФЗ;
- Постановление Правительства Российской Федерации "О лицензировании отдельных видов деятельности" от 16.09.98г;
- Закон Российской Федерации "О государственной тайне" от 21 июля 1993 г;
- ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении".
- Руководящий документ "Положение по аттестации объектов информатизации по требованиям безопасности информации" (Утверждено Председателем Гостехкомиссии России 25.11.1994 г.);
- Руководящий документ "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования к защите информации" (Гостехкомиссия России, 1997);
- "Положение о сертификации средств защиты информации по требованиям безопасности информации" (Постановление Правительства РФ ╧ 608, 1995 г.);
- Руководящий документ "Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1992 г.);
- Руководящий документ "Концепция защиты средств вычислительной техники от НСД к информации" (Гостехкомиссия России, 1992 г.);
- Руководящий документ "Защита от НСД к информации. Термины и определения" (Гостехкомиссия России, 1992 г.);
- Руководящий документ "Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ" (Гостехкомиссия России, 1992 г.);
- Руководящий документ "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (Гостехкомиссия России, 1997 г.);
- Руководящий документ "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999 г.);
- Руководящий документ "Специальные требования и рекомендации по технической защите конфиденциальной информации" (Гостехкомиссия России, 2001г.).
РД Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются ниже.
|
|
|
|
Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации".
РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации"
РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. (Основным "источником вдохновения" при разработке этого документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:
- Первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;
- Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
- Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
- Четвертая группа характеризуется верифицированной защитой содержит только первый класс.
РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации"
РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:
- наличие в АС информации различного уровня конфиденциальности;
- уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
- режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.
РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации"
При анализе системы защиты внешнего периметра корпоративной сети в качестве основных критериев целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:
- Управление доступом;
- Идентификация и аутентификация;
- Регистрация событий и оповещение;
- Контроль целостности;
- Восстановление работоспособности.
На основании показателей защищенности определяются следующие пять классов защищенности МЭ:
|
|
- Простейшие фильтрующие маршрутизаторы - 5 класс;
- Пакетные фильтры сетевого уровня - 4 класс;
- Простейшие МЭ прикладного уровня - 3 класс;
- МЭ базового уровня - 2 класс;
- Продвинутые МЭ - 1 класс.
МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.