book_OI
.pdfГлава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
•разработать и научно обосновать концепцию подготовки кадров по защите информации;
•определить перечень учебных заведений, уполномоченных готовить кадры по защите информа& ции, и распределить между ними специализации выпускаемых специалистов;
•организовать набор и подготовку молодых специалистов;
•организовать переподготовку и повышение квалификации специалистов по защите информации;
•организовать подготовку научно&педагогических кадров в области защиты информации, и т.д.
1.2. Нормативно9методические документы Федеральной службы по техническому
иэкспортному контролю (Гостехкомиссии) в области ЗИ
В1992 году Государственная техническая комиссия при Президенте Российской Федерации опуб& ликовала пять Руководящих документов, посвященных проблеме защиты от несанкционированного доступа (НСД) к информации [1&5]. Позже был принят ряд других документов [6&9]. В августе 2004 г. Указом Президента Российской Федерации на основе Государственной технической комиссии была создана Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Однако все руководящие документы Гостехкомиссии России опубликованные ранее продолжают действовать в РФ до выхода новых документов ФСТЭК РФ. Рассмотрим важнейшие из них.
Идейной основой набора Руководящих документов является «Концепция защиты СВТ и АС от НСД к информации» [1]. Концепция излагает систему взглядов, основных принципов, которые за& кладываются в основу проблемы защиты информации от НСД, являющейся частью общей проблемы безопасности информации.
ВКонцепции различаются понятия средств вычислительной техники (СВТ) и автоматизированной системы. Концепция предусматривает существование двух относительно самостоятельных и, следо& вательно, имеющих отличие направлений в проблеме защиты информации от НСД. Это — направле& ние, связанное с СВТ, и направление, связанное с АС.
Отличие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэто& му, не решая прикладных задач, СВТ не содержат пользовательской информации.
Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации.
Существуют различные способы покушения на информационную безопасность — радиотехниче& ские, акустические, программные и т.п. Среди них НСД выделяется как доступ к информации, нару& шающий установленные правила разграничения доступа, с использованием штатных средств, пред& оставляемых СВТ или АС.
Под штатными средствами понимается совокупность программного, микропрограммного и тех& нического обеспечения СВТ или АС.
В Концепции формулируются следующие основные принципы защиты от НСД к информации:
•Защита СВТ обеспечивается комплексом программно&технических средств.
•Защита АС обеспечивается комплексом программно&технических средств и поддерживающих их организационных мер.
•Защита АС должна обеспечиваться на всех технологических этапах обработки информации и во всех режимах функционирования, в том числе при проведении ремонтных и регламентных работ.
•Программно&технические средства защиты не должны существенно ухудшать основные функциональ& ные характеристики АС (надежность, быстродействие, возможность изменения конфигурации АС).
•Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осущест& вляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.
•Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот конт& роль может быть либо периодическим, либо инициироваться по мере необходимости пользовате& лем АС или контролирующими органами.
10
оглавление
1
2
3
4
5
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
Концепция ориентируется на физически защищенную среду, проникновение в которую посторон& них лиц считается невозможным, поэтому нарушитель определяется как субъект, имеющий доступ к работе с штатными средствами АС и СВТ как части АС.
Нарушители классифицируются по уровню возможностей, предоставляемых им штатными сред& ствами АС и СВТ. Выделяется четыре уровня этих возможностей. Классификация является иерархи& ческой, то есть каждый следующий уровень включает в себя функциональные возможности преды& дущего.
Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС — за& пуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
Второй уровень определяется возможностью создания и запуска собственных программ с новы& ми функциями по обработке информации.
Третий уровень определяется возможностью управления функционированием АС, т.е. воздей& ствием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.
Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проекти& рование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собствен& ных технических средств с новыми функциями по обработке информации.
Всвоем уровне нарушитель является специалистом высшей квалификации, знает все о АС и, в ча& стности, о системе и средствах ее защиты.
Вкачестве главного средства защиты от НСД к информации в Концепции рассматривается система разграничения доступа (СРД) субъектов к объектам доступа. Основными функциями СРД являются:
•реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным;
•реализация ПРД субъектов и их процессов к устройствам создания твердых копий;
•изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
•управление потоками данных с целью предотвращения записи данных на носители несоответ& ствующего грифа;
•реализация правил обмена данными между субъектами для АС и СВТ, построенных по сетевым принципам.
Кроме того, Концепция предусматривает наличие обеспечивающих средств для СРД, которые вы& полняют следующие функции:
•идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;
•регистрацию действий субъекта и его процесса;
•предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;
•реакцию на попытки НСД, например, сигнализацию, блокировку, восстановление после НСД;
•тестирование;
•очистку оперативной памяти и рабочих областей на магнитных носителях после завершения ра& боты пользователя с защищаемыми данными;
•учет выходных печатных и графических форм и твердых копий в АС;
•контроль целостности программной и информационной части как СРД, так и обеспечивающих ее средств.
Технические средства защиты от НСД, согласно Концепции, должны оцениваться по следующим
основным параметрам:
•степень полноты охвата ПРД реализованной СРД и ее качество;
•состав и качество обеспечивающих средств для СРД;
•гарантии правильности функционирования СРД и обеспечивающих ее средств.
1.2.1. Классификация средств вычислительной техники по уровню защищенности от НСД
В Руководящем документе [2] устанавливается семь классов защищенности СВТ от НСД к инфор& мации. Самый низкий класс — седьмой, самый высокий — первый.
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
• первая группа содержит только один седьмой класс;
11
оглавление
1
2
3
4
5
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
•вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
•третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
•четвертая группа характеризуется верифицированной защитой и содержит только первый класс. Приведем сводную таблицу распределения показателей защищенности по шести классам СВТ. Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к инфор&
мации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса. Комплекс средств защиты (КСЗ) должен контролировать доступ наименованных субъектов
(пользователей) к наименованным объектам (файлам, программам, томам и т.д.).
В документе вводится понятие дискреционного и мандатного принципов контроля доступа.
При дискреционном контроле доступа для каждой пары (субъект — объект) в правилах разгра& ничения доступа должно быть задано явное и недвусмысленное перечисление допустимых типов до& ступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для дан& ного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).
Таблица 1.1. Распределение показателей защищенности по классам СВТ
Наименование показателя |
|
Класс защищенности |
|
||||
6 |
5 |
4 |
3 |
2 |
1 |
||
|
|||||||
Дискреционный принцип контроля доступа |
+ |
+ |
+ |
= |
+ |
= |
|
Мандатный принцип контроля доступа |
– |
– |
+ |
= |
= |
= |
|
Очистка памяти |
– |
+ |
+ |
+ |
= |
= |
|
Изоляция модулей |
– |
– |
+ |
= |
+ |
= |
|
Маркировка документов |
– |
– |
+ |
= |
= |
= |
|
Защита ввода и вывода на отчуждаемый физический |
– |
– |
+ |
= |
= |
= |
|
носитель информации |
|||||||
|
|
|
|
|
|
||
Сопоставление пользователя с устройством |
– |
– |
+ |
= |
= |
= |
|
Идентификация и аутентификация |
+ |
= |
+ |
= |
= |
= |
|
Гарантии проектирования |
– |
+ |
+ |
+ |
+ |
+ |
|
Регистрация |
– |
+ |
+ |
+ |
= |
= |
|
Взаимодействие пользователя с КСЗ |
– |
– |
– |
+ |
= |
= |
|
Надежное восстановление |
– |
– |
– |
+ |
= |
= |
|
Целостность КСЗ |
– |
+ |
+ |
+ |
= |
= |
|
Контроль модификации |
– |
– |
– |
– |
+ |
= |
|
Контроль дистрибуции |
– |
– |
– |
– |
+ |
= |
|
Гарантии архитектуры |
– |
– |
– |
– |
– |
+ |
|
Тестирование |
+ |
+ |
+ |
+ |
+ |
+ |
|
Руководство для пользователя |
+ |
= |
= |
= |
= |
= |
|
Руководство по КСЗ |
+ |
+ |
= |
+ |
+ |
= |
|
Тестовая документация |
+ |
+ |
+ |
+ |
+ |
= |
|
Конструкторская (проектная) документация |
+ |
+ |
+ |
+ |
+ |
+ |
|
|
|
|
|
|
|
|
Обозначения:
12
оглавление
1
2
3
4
5
«– » — нет требований к данному классу;
«+ » — новые или дополнительные требования;
«= » — требования совпадают с требованиями к СВТ предыдущего класса.
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).
Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.
Основой мандатного принципа разграничения доступа служат специальные классификацион& ные метки, присваиваемые каждому субъекту и каждому объекту доступа, отражающие их место в со& ответствующей иерархии. Посредством этих меток субъектам и объектам должны назначаться клас& сификационные уровни (уровни уязвимости, категории секретности и т.п.), являющиеся комбинаци& ями иерархических и неиерархических категорий
КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном занесении в список пользователей нового субъекта должно осуществляться сопоставление ему классификационных ме& ток. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внут& ренним меткам (внутри КСЗ).
КСЗ должен реализовывать мандатный принцип контроля доступа применительно ко всем объек& там при явном и скрытом доступе со стороны любого из субъектов:
•субъект может читать объект, только если иерархическая классификация в классификационном уровне субъекта не меньше, чем иерархическая классификация в классификационном уровне объекта, и неиерархические категории в классификационном уровне субъекта включают в себя все иерархические категории в классификационном уровне объекта;
•субъект осуществляет запись в объект, только если классификационный уровень субъекта в ие& рархической классификации не больше, чем классификационный уровень объекта в иерархичес& кой классификации, и все иерархические категории в классификационном уровне субъекта вклю& чаются в неиерархические категории в классификационном уровне объекта.
Реализация мандатных правил разграничения доступа должна предусматривать возможности со&
провождения: изменения классификационных уровней субъектов и объектов специально выделен& ными субъектами.
1.2.2. Классификация автоматизированных систем по уровню защищенности от НСД
ВРуководящем документе [3] устанавливается девять классов защищенности АС от НСД к инфор& мации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
Впределах каждой группы соблюдается иерархия требований по защите в зависимости от ценно& сти (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.
Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности.
Группа содержит два класса — 2Б и 2А.
Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатыва& ется и (или) хранится информация разных уровней конфиденциальности и не все пользователи име& ют право доступа ко всей информации АС.
Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.
Втаблице 1.2 представлены требования ко всем девяти классам защищенности АС.
Вкачестве примера приведем изложение требований к достаточно представительному классу за& щищенности — 1В.:
13
оглавление
1
2
3
4
5
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
|
|||||||||
Федерации |
|
|
|
|
|
|
|
|
|
|
|
Таблица 1.2. Требования к защищенности АС |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
Подсистемы и требования |
|
|
|
Классы |
|
|
|
|
||
|
3Б |
3А |
2Б |
2А |
1Д |
1Г |
1В |
1Б |
1А |
||
1. Подсистема управления доступом |
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
1.1. Идентификация, проверка подлинности и контроль |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
+ |
|
доступа субъектов в систему |
|
||||||||||
|
|
|
|
|
|
|
|
|
|
||
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним |
|
|
|
+ |
|
+ |
+ |
+ |
|
+ |
|
устройствам ЭВМ |
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
||
к программам |
|
|
|
+ |
|
+ |
+ |
+ |
|
+ |
|
к томам, каталогам, файлам, записям, полям записей |
|
|
|
+ |
|
+ |
+ |
+ |
|
+ |
|
1.2. Управление потоками информации |
|
|
|
+ |
|
+ |
+ |
+ |
|
+ |
|
|
|
|
|
|
|
|
|
|
|
|
|
2. Подсистема регистрации и учета |
3Б |
3А |
2Б |
2А |
1Д |
1Г |
1В |
1Б |
1А |
||
|
|
|
|
|
|
|
|
|
|
|
|
2.1. Регистрация и учет: входа/выхода субъектов доступа |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
+ |
|
в/из системы (узла сети) |
|
||||||||||
|
|
|
|
|
|
|
|
|
|
||
выдачи печатных (графических) выходных документов |
|
+ |
|
+ |
|
+ |
+ |
+ |
|
+ |
|
запуска/завершения программ и процессов (заданий, задач) |
|
|
|
+ |
|
+ |
+ |
+ |
|
+ |
|
доступа программ субъектов к защищаемым файлам, включая |
|
|
|
+ |
|
+ |
+ |
+ |
|
+ |
|
их создание и удаление, передачу по линиям и каналам связи |
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
||
доступа программ субъектов, доступа к терминалам, ЭВМ, узлам |
|
|
|
+ |
|
+ |
+ |
+ |
|
+ |
|
сети ЭВМ, каналам связи, внешним устройствам ЭВМ, програм& |
|
|
|
|
|
||||||
мам, томам, каталогам, файлам, записям, полям записей |
|
|
|
|
|
|
|
|
|
|
|
изменения полномочий субъектов доступа |
|
|
|
|
|
|
+ |
+ |
|
+ |
|
создаваемых защищаемых объектов доступа |
|
|
|
+ |
|
+ |
+ |
+ |
|
+ |
|
2.2. Учет носителей информации |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
+ |
|
2.3. Очистка (обнуление, обезличивание) освобождаемых |
|
+ |
|
+ |
|
+ |
+ |
+ |
|
+ |
|
областей оперативной памяти ЭВМ и внешних накопителей |
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
||
2.4. Сигнализация попыток нарушения защиты |
|
|
|
|
|
|
+ |
+ |
|
+ |
|
|
|
|
|
|
|
|
|
|
|
|
|
3. Криптографическая подсистема |
3Б |
3А |
2Б |
2А |
1Д |
1Г |
1В |
1Б |
1А |
||
|
|
|
|
|
|
|
|
|
|
|
|
3.1. Шифрование конфиденциальной информации |
|
|
|
+ |
|
|
|
+ |
|
+ |
|
3.2. Шифрование информации, принадлежащей различным |
|
|
|
|
|
|
|
|
|
+ |
|
субъектам доступа (группам субъектов) на разных ключах |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||
3.3. Использование аттестованных (сертифицированных) |
|
|
|
+ |
|
|
|
+ |
|
+ |
|
криптографических средств |
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
||
4. Подсистема обеспечения целостности |
3Б |
3А |
2Б |
2А |
1Д |
1Г |
1В |
1Б |
1А |
||
|
|
|
|
|
|
|
|
|
|
|
|
4.1. Обеспечение целостности программных средств и |
+ + + + + + + + |
|
+ |
||||||||
обрабатываемой информации |
|
||||||||||
|
|
|
|
|
|
|
|
|
|
||
4.2. Физическая охрана средств вычислительной техники и |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
+ |
|
носителей информации |
|
||||||||||
|
|
|
|
|
|
|
|
|
|
||
4.3. Наличие администратора (службы) защиты |
|
|
|
+ |
|
|
+ |
+ |
|
+ |
|
информации в АС |
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
||
4.4. Периодическое тестирование СЗИ НСД |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
+ |
|
4.5. Наличие средств восстановления СЗИ НСД |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
+ |
|
4.6. Использование сертифицированных средств защиты |
|
+ |
|
+ |
|
|
+ |
+ |
|
+ |
|
|
|
|
|
|
|
|
|
|
|
|
|
14
оглавление
1
2
3
4
5
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
Подсистема управления доступом:
•должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно&постоянного действия длиной не менее шести буквенно&цифровых символов;
•должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внеш& них устройств ЭВМ по логическим именам и/или адресам;
•должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей за& писей по именам;
•должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;
•должно осуществляться управление потоками информации с помощью меток конфиденциально& сти. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиден& циальности записываемой на него информации.
Подсистема регистрации и учета:
•должна осуществляться регистрация входа/выхода субъектов доступа в систему/из системы, ли& бо регистрация загрузки и инициализации операционной системы и ее программного останова;
•должна осуществляться регистрация выдачи печатных (графических) документов на «твердую» копию;
•должна осуществляться регистрация запуска/завершения программ и процессов (заданий, за& дач), предназначенных для обработки защищаемых файлов;
•должна осуществляться регистрация попыток доступа программных средств к следующим допол& нительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
•должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объек& тов доступа;
•должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их до& полнительной маркировки, используемой в подсистеме управления доступом. Маркировка долж& на отражать уровень конфиденциальности объекта;
•должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки;
•должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью
в любую освобождаемую область памяти, использованную для хранения защищаемой информации;
•должна осуществляться сигнализация попыток нарушения защиты.
Подсистема обеспечения целостности:
•должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность про& граммной среды, при этом:
&целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ,
&целостность программной среды обеспечивается использованием трансляторов с языков высоко& го уровня и отсутствием средств модификации объектного кода программ при обработке и (или)
хранении защищаемой информации;
•должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусма& тривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью тех& нических средств охраны и специального персонала, использование строгого пропускного режи& ма, специальное оборудование помещений АС;
•должен быть предусмотрен администратор (служба) защиты информации, ответственный за веде& ние, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;
•должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специаль& ных программных средств не реже одного раза в год;
•должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух ко& пий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности;
•должны использоваться сертифицированные средства защиты.
15
оглавление
1
2
3
4
5
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
Данный перечень описывает минимум требований, которым необходимо следовать, чтобы обес& печить конфиденциальность защищаемой информации.
Защита от несанкционированного доступа к информации. Термины и определения
Руководящий документ [5] устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.
Установленные термины обязательны для применения во всех видах документации.
Для каждого понятия установлен один термин. Применение синонимов термина не допускается. Для отдельных терминов даны (в скобках) краткие формы, которые разрешается применять в слу&
чаях, исключающих возможность их различного толкования.
Для справок приведены иностранные эквиваленты русских терминов на английском языке, а так& же алфавитные указатели терминов на русском и английском языках.
1.2.3. Межсетевые экраны. Показатели защищенности от НСД
Настоящий руководящий документ [6] устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от несанкционированного доступа к информации на базе перечня показа& телей защищенности и совокупности описывающих их требований.
Межсетевой экран представляет собой локальное (однокомпонентное) или функционально&рас& пределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.
Деление МЭ на соответствующие классы по уровням контроля межсетевых информационных по& токов с точки зрения защиты информации необходимо в целях разработки и применения обоснован& ных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей ЭВМ, АС.
Устанавливается пять классов защищенности МЭ. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Самый низкий класс защищенности — пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый — для 1Г, третий — 1В, второй — 1Б, самый высокий — пер& вый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой.
Перечень показателей по классам защищенности МЭ приведен в таблице 1.3.
Таблица 1.3. Требования к защищенности межсетевых экранов
Показатели защищенности |
|
Классы защищенности |
|
|||
5 |
4 |
3 |
2 |
|
1 |
|
|
|
|||||
Управление доступом (фильтрация данных и трансляция адресов) |
+ |
+ |
+ |
+ |
|
= |
Идентификация и аутентификация |
9 |
9 |
+ |
= |
|
+ |
Регистрация |
9 |
+ |
+ |
+ |
|
= |
Администрирование: идентификация и аутентификация |
+ |
= |
+ |
+ |
|
+ |
Администрирование: регистрация |
+ |
+ |
+ |
= |
|
= |
Администрирование: простота использования |
9 |
9 |
+ |
= |
|
+ |
Целостность |
+ |
= |
+ |
+ |
|
+ |
Восстановление |
+ |
= |
= |
+ |
|
= |
Тестирование |
+ |
+ |
+ |
+ |
|
+ |
Руководство администратора защиты |
+ |
= |
= |
= |
|
= |
Тестовая документация |
+ |
+ |
+ |
+ |
|
+ |
Конструкторская (проектная) документация |
+ |
= |
+ |
= |
|
+ |
|
|
|
|
|
|
|
16
оглавление
1
2
3
4
5
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
1.2.4. Программное обеспечение средств защиты информации.
Классификация по уровню контроля отсутствия недекларированных возможностей
ВРуководящем документе [7] устанавливается классификация программного обеспечения (ПО) средств защиты информации (СЗИ), в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей.
Под недекларированными возможностями понимаются функциональные возможности ПО, не описанные или не соответствующие описанным в документации, при использовании которых воз& можно нарушение конфиденциальности, доступности или целостности обрабатываемой информа& ции. Реализацией недекларированных возможностей, в частности, являются программные закладки.
Классификация распространяется на ПО, предназначенное для защиты информации ограничен& ного доступа. Устанавливается четыре уровня контроля отсутствия недекларированных возможнос& тей. Каждый уровень характеризуется определенной минимальной совокупностью требований.
Самый высокий уровень контроля — первый, достаточен для ПО, используемого при защите ин& формации с грифом «ОВ».
Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «CC». Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом «C». Самый низкий уровень контроля — четвертый, достаточен для ПО, используемого при защите кон&
фиденциальной информации Уровень контроля определяется выполнением заданного настоящим РД набора требований,
предъявляемого:
•к составу и содержанию документации, представляемой заявителем для проведения испытаний ПО СЗИ;
•к содержанию испытаний.
Втаблице 1.4 приведен перечень требований к составу и содержанию документации, а также
ксодержанию испытаний ПО.
Проверка выполнения перечисленных требований выполняется в ходе проведения сертификации ПО специалистами испытательных лабораторий. Для проведения фиксации и контроля исходного со& стояния проверяемого ПО, а также статистического и динамического анализа исходных текстов про& грамм, используется специально разработанные инструментальные средства проведения испытаний.
1.2.5. Критерии оценки безопасности информационных технологий
Планируемое вступление России во Всемирную торговую организацию и вхождение в мировое информационное сообщество предполагает, что необходимо принимать документы, имеющие анало& гичные или близкие к ним критерии оценки безопасности информационных технологий. В этой свя& зи при аппарате Совета Безопасности Российской Федерации была создана рабочая группа из пред& ставителей Гостехкомиссии России, ФАПСИ, ФСБ, Минобороны России и других структур, где рассмат& ривалась возможность применения в России методологии стандарта ISO 15408. По результатам рабо& ты этой группы межведомственной комиссией Совета Безопасности по информационной безопасно& сти было принято решение о проведении практической апробации в системе сертификации Гостех& комиссии России нормативных документов в области ЗИ, разработанных в соответствии с методоло& гией указанного международного стандарта.
Гостехкомиссией России организована разработка на базе международных стандартов комплек& са государственных стандартов в области управления безопасностью информационных технологий, а также ряда нормативных и методических документов, соответствующих используемой в междуна& родной практике нормативно&методической базе. Это разработанный Гостехкомиссией России и при& нятый постановлением Госстандарта России от 4 апреля 2002 г. №133&СТ государственный стандарт ГОСТ Р ИСО/МЭК №15408&2002 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий», а также руководя& щий документ Гостехкомиссии России с аналогичным названием.
Этот руководящий документ (РД) [9] вступил в силу с 1 января 2004 г. Он содержит систематизи& рованный каталог требований безопасности информационных технологий (ИТ), порядок и методиче& ские рекомендации по его использованию при задании требований, разработке, оценке и сертифи& кации продуктов и систем ИТ по требованиям безопасности информации.
17
оглавление
1
2
3
4
5
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
Разработка этого РД направлена на обеспечение практического использования ГОСТ Р ИСО/МЭК 15408&2002 в деятельности заказчиков, разработчиков и пользователей продуктов и систем ИТ при формировании ими требований, разработке, приобретении и применении продуктов и систем инфор& мационных технологии, предназначенных для обработки , хранения или передачи информации под& лежащей защите в соответствии с требованиями нормативно правовых документов и требованиями, устанавливаемыми собственником информации. РД предназначен также для органов сертификации и испытательных лабораторий аккредитованных в системе сертификации средств защиты информа& ции по требованиям безопасности информации № РОСС RU.0001.01БИ00, для использования при проведении оценки и сертификации безопасности ИТ.
Основной целью руководящего документа является повышение доверия к безопасности продук& тов и систем информационных технологий. Положения РД направлены на создание продуктов и сис& тем информационных технологий с уровнем безопасности, адекватным имеющимся по отношению к ним угрозам и проводимой политике безопасности с учетом условий применения.
Под безопасностью информационной технологии понимается состояние, определяющее защи& щенность информации и ресурсов ИТ от действия объективных и субъективных, внешних и внутрен& них, случайных и преднамеренных угроз, а также способность ИТ выполнять предписанные функции
Таблица 1.4. Перечень требований
№ |
Наименование требования |
Уровень контроля |
||||
4 |
3 |
2 |
1 |
|||
|
|
|||||
|
Требования к документации |
|
|
|
|
|
1. |
Контроль состава и содержания документации |
|
|
|
|
|
1.1. |
Спецификация (ГОСТ 19.202&78) |
+ |
= |
= |
= |
|
1.2. |
Описание программы (ГОСТ 19.402&78) |
+ |
= |
= |
= |
|
1.3. |
Описание применения (ГОСТ 19.502&78) |
+ |
= |
= |
= |
|
1.4. |
Пояснительная записка (ГОСТ 19.404&79) |
– |
+ |
= |
= |
|
1.5. |
Тексты программ, входящих в состав ПО (ГОСТ 19.401&78) |
+ |
= |
= |
= |
|
|
Требования к содержанию испытаний |
|
|
|
|
|
2. |
Контроль исходного состояния ПО |
+ |
= |
= |
= |
|
3. |
Статический анализ исходных текстов программ |
|
|
|
|
|
3.1. |
Контроль полноты и отсутствия избыточности исходных текстов |
+ |
+ |
+ |
= |
|
3.2. |
Контроль соответствия исходных текстов ПО его объектному |
+ |
= |
= |
+ |
|
|
(загрузочному) коду |
|
|
|
|
|
3.3. |
Контроль связей функциональных объектов по управлению |
– |
+ |
= |
= |
|
3.4. |
Контроль связей функциональных объектов по информации |
– |
+ |
= |
= |
|
3.5 |
Контроль информационных объектов |
– |
+ |
= |
= |
|
3.6. |
Контроль наличия заданных конструкций в исходных текстах |
– |
– |
+ |
+ |
|
3.7. |
Формирование перечня маршрутов выполнения функциональных объектов |
– |
+ |
+ |
= |
|
3.8. |
Анализ критических маршрутов выполнения функциональных объектов |
– |
– |
+ |
= |
|
3.9. |
Анализ алгоритма работы функциональных объектов на основе блок&схем, |
– |
– |
+ |
= |
|
|
диаграмм и т.п., построенных по исходным текстам контролируемого ПО |
|
|
|
|
|
4. |
Динамический анализ исходных текстов программ |
|
|
|
|
|
4.1. |
Контроль выполнения функциональных объектов |
– |
+ |
+ |
= |
|
4.2. |
Сопоставление фактических маршрутов выполнения функциональных объек& |
– |
+ |
+ |
= |
|
|
тов и маршрутов, построенных в процессе проведения статического анализа |
|
|
|
|
|
5. |
Отчетность |
+ |
+ |
+ |
+ |
|
|
|
|
|
|
|
18
оглавление
1
2
3
4
5
Глава 1 |
Правовое и нормативное обеспечение технической защиты информации в Российской |
Федерации |
без нанесения неприемлемого ущерба объектам информационных отношений.
Доверие к безопасности ИТ обеспечивается как реализацией в них необходимых функциональ& ных возможностей, так и осуществлением комплекса мер по обеспечению безопасности при разра& ботке продуктов и систем ИТ, проведением независимых оценок безопасности и контролем ее уров& ня при эксплуатации.
Требования к безопасности конкретных продуктов и систем ИТ устанавливаются исходя из имею& щихся и прогнозируемых угроз безопасности, проводимой политики безопасности, а также с учетом условий их применения. При формировании требований должны в максимальной степени использо& ваться компоненты требований, представленные в настоящем руководящем документе. Допускается также использование и других требований безопасности, при этом уровень детализации и способ вы& ражения требования представленных в настоящем руководящем документе, должны использоваться
вкачестве образца. Требования безопасности могут задаваться Заказчиком в техническом задании на разработку продуктов и систем ИТ или формироваться разработчиком при создании им продуктов ИТ самостоятельно.
Требования безопасности, являющиеся общими для некоторого типа продуктов или систем ИТ. могут оформляться в виде представленной в настоящем руководящем документе структуры, именуе& мой «Профиль защиты». Профили защиты, прошедшие оценку в установленном порядке, регистриру& ются и помещаются в каталог оцененных профилей защиты.
Оценка и сертификация безопасности ИТ проводится на соответствие требованиям, представляе& мым Разработчиком продукта или системы ИТ в Задании по безопасности. Требования заданий по безопасности продуктов и систем ИТ, предназначенных для использования в областях применения, регулируемых государством, должны соответствовать требованиям установленных профилей защиты.
Руководящий документ состоит из трех частей.
Часть 1. «Введение и общая модель» определяет виды требований безопасности (функциональ& ные и требования доверия), основные конструкции представления требований безопасности (про& филь защиты, задание по безопасности) и содержит основные методические положения по оценке безопасности ИТ.
Часть 2. «Функциональные требования безопасности» содержит универсальный систематизиро& ванный каталог функциональных требований безопасности и предусматривает возможность их дета& лизации и расширения по определенным правилам. Она содержит каталог всех функциональных компонентов, семейств и классов.
Часть 3. «Требования доверия к безопасности» устанавливает совокупность компонентов дове& рия как стандартный способ выражения требований доверия к объекту оценки (ОО). Содержит ката& лог всех компонентов, семейств и классов доверия. Кроме того, в этой части определены критерии оценки профилей защиты и заданий по безопасности и представлены оценочные уровни доверия (ОУД), которые определяют предопределенную ГОСТ Р ИСО/МЭК 15408&2002 шкалу ранжирования до& верия к ОО.
Требования безопасности, содержащиеся в настоящем РД, могут уточняться и дополняться по ме& ре совершенствования правовой и нормативной базы, развития информационных технологий и со& вершенствования методов обеспечения безопасности. Внесение изменений в РД осуществляется
впорядке, устанавливаемом Гостехкомиссией России.
1.3. Правила лицензирования деятельности в области защиты информации и сертифика9 ции средств защиты информации и проведение аттестации объектов информатизации.
В условиях повсеместной информатизации основных процессов жизнедеятельности страны ин& формационная сфера становится не только неотъемлемой частью общественной жизни, но и во мно& гом определяет направления социально — политического и экономического развития государства. Поскольку состояние защищенности информационной среды в ключевых областях деятельности эко& номики в целом является в значительной степени определяющим фактором безопасности государ& ства, то в этом случае информационная безопасность выходит на передний план и становится важ& ной и неотъемлемой составной частью общей стратегии национальной безопасности Российской Фе&
19
оглавление
1
2
3
4
5