2020-08-05
255
В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому н экспортному контролю, утверждённого Указом Президента Российской Федерации от 16 августа 2004 г. № 1085. приказом ФСТЭК России от 19 августа 2016 г. № 119 (зарегистрирован Минюстом России 19 сентября 2016 г., регистрационный № 43691) утверждены Требования безопасности информации к операционным системам (далее - Требования), которые вступили в силу с 1 июня 2017 г.
В соответствии с Требованиями выделяются следующие типы операционных систем:
• операционная система общего назначения (тип «А») - операционная система, предназначенная для функционирования на средствах вычислительной техники общего назначения (автоматизированные рабочие места, серверы, смартфоны, планшеты, телефоны и иные):
• встраиваемая операционная система (тип «Б») - операционная система, встроенная (прошитая) в специализированные технические устройства, предназначенные для решения заранее определённого набора задач:
• операционная система реального времени (тип «В») - операционная система, предназначенная для обеспечения реагирования на события в рамках заданных временных ограничений при заданном уровне функциональности.
Защита информации от несанкционированного доступа
Зашита информации (ЗИ) от несанкционированного доступа (НСД) на объектах информатизации (ОИ) представляет собой важную составляющую обеспечения безопасности информации на ОИ. В отличие от других факторов обеспечения безопасности информации, таких как зашита информации от утечки по техническим канатам, несмотря на также законодательно фиксированные требования к ЗИ от НСД информации определённого уровня конфиденциальности. при ЗИ от НСД применяется более творческий подход к построению системы зашиты.
В настоящее время в зависимости от типа ОИ и его структуры для обеспечения ЗИ от НСД могут применяться следующие классы средств зашиты:
• средства аппаратной идентификации:
• средства антивирусной зашиты:
• средства обнаружения вторжений:
• межсетевые экраны:
• программные и программно-аппаратные СЗИ от НСД:
• средства шифрования.
Построение комплекса по ЗИ от НСД на каждом конкретном ОИ начинается с построения модели информационного документооборота ОИ. Проводится изучение информационных потоков на ОИ. определяются риски и основные угрозы информации на всех этапах её хранения, обработки и передаче на ОИ. На основании полученной информации строится матрица доступа к информации, обрабатываемой в ОИ, а также схема информационных потоков. На основании собранных об ОИ сведений строится модель комплекса СЗИ от НСД для исследуемого ОИ.
Чаще всего АРМ в составе ОИ применяются программные или программно-аппаратные СЗИ от НСД. В зависимости от того имеются ли у АРМ в составе ОИ сетевые подключения принимается решение о применении средств межсетевого экранирования, а также средств
• Аккорд;
• Страж;
• Secret net:
• Dallas lock.
Федеральная служба по техническому и экспортному контролю
В связи схем что все эти средства имеют действующие сертификаты соответствия ФСТЭК
России по защите информации на АС ОИ до класса 1Б включительно, положительно или отрицательно оценивать средства можно по двум критериям: удобство в работе для пользователя, удобство и прозрачность настройки.
НСД должно обеспечивать безопасность информации следующими четырьмя основными подсистемами:
1. Подсистема идентификации и аутентификации.
2. Подсистема регистрации и учёта.
3. Подсистема криптографической защиты.
4. Подсистемы обеспечения целостности.
Подсистема идентификации и аутентификации предоставляет и контролирует доступ
Конфиденциальность данных -это статус, предоставленный данным и определяющий требуемую степень их защиты. По существу конфиденциальность информации - это свойство информации быть известной только допущенным и прошедшим проверку (авторизированным) субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.
Субъект - это активный компонент системы, который может стать причиной потока информации от объекта к субъекту или изменения состояния системы.
Объект - пассивный компонент системы, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.
