Окончание табл. 2.14
Описание техническая характеристика |
|
Класс защищенности |
|
|||
защиты |
|
|
|
|
|
|
С1 |
С2 |
В1 |
В2 |
В3 |
А1 |
|
Какова структура ТСВ, которая способст |
|
|
|
|
|
|
вует усилению минимальных преиму |
|
|
|
+ |
+ |
+ |
ществ |
|
|
|
|||
Результаты анализа защищенных каналов |
|
|
|
+ |
+ |
+ |
Альтернативные варианты |
|
|
|
+ |
+ |
+ |
Результаты проверки, которые можно |
|
|
|
|
|
|
использовать при эксплуатации известных |
|
|
|
+ |
+ |
+ |
защитных каналов ЗУ |
|
|
|
|||
* ТСВ (Trusted computer base) - доверенная вычислительная среда
8.2. Требования к безопасности информационных систем в России
Аналогичный подход реализован и в руководящем документе Госу дарственной технической комиссией при Президенте РФ «Классифика ция автоматизированных систем и требований по защите информации», выпущенном в 1992 г. Требования всех приведенных ниже документов обязательны для исполнения только для тех государственных либо ком мерческих организаций, которые обрабатывают информацию, содержа щую государственную тайну. Для остальных коммерческих структур документы носят рекомендательный характер. В данном документе вы делено 9 классов защищенности автоматизированных систем от несанк ционированного доступа к информации, а для каждого класса определен
минимальный |
состав необходимых |
механизмов |
защиты и |
требования |
к содержанию |
защитных функций |
каждого из |
механизмов |
в каждом |
из классов систем. |
|
|
|
|
Классы систем разделены на три группы, причем основным критери ем деления на группы приняты специфические особенности обработки информации, а именно:
третья группа - системы, в которых работает один пользователь, до пущенный ко всей обрабатываемой информации, размещенной на носи телях одного уровня конфиденциальности; к группе отнесены два класса, обозначенные ЗБ и ЗА;
вторая группа - системы, в которых работает несколько пользовате лей, которые имеют одинаковые права доступа ко всей информации, об-
рабатываемой и/или хранимой на носителях различного уровня конфи денциальности; к группе отнесены два класса, обозначенные 2Б и 2А;
первая группа - многопользовательские системы, в которых одно временно обрабатывается и/или хранится информация разных уровней конфиденциальности, причем различные пользователи имеют разные права на доступ к информации; к группе отнесено 5 классов: 1Д, 1Г, 1В, 1Б и 1А.
Требования к защите растут от систем класса ЗБ к классу 1 А.
Все механизмы защиты разделены на 4 подсистемы следующего на значения:
•управления доступом;
•регистрации и учета;
•криптографического закрытия;
•обеспечения целостности.
Состав перечисленных подсистем приведен в табл. 2.15.
Таблица 2.15. Классы подсистем защищенности
Подсистема и ее |
|
|
|
Классы систем |
|
|
|
||
характеристики |
ЗБ |
ЗА |
2Б |
2А |
1Д |
1Г |
IB |
1Б |
1А |
1. Подсистема управления |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
доступом |
|||||||||
1.1. Идентификация, провер |
- |
- |
- |
|
- |
|
|
|
|
ка подлинности и контроль |
|
|
|
|
|
|
|
|
|
доступа субъектов в систему: |
|
|
|
|
|
|
|
|
|
к терминалам, ЭВМ, каналам |
|
|
|
|
|
|
|
|
|
связи, внешним устройствам |
|
|
|
+ |
|
+ |
+ |
+ |
+ |
ЭВМ |
|
|
|
|
|||||
к томам, каталогам, файлам, |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
записям, полям записей |
|||||||||
1.2. Управление потоками |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
информации |
|
||||||||
2. Подсистема регистрации и |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
учета |
|||||||||
2.1. Регистрация и учет: |
- |
|
- |
|
- |
|
|
|
|
входа субъектов доступа в |
|
|
|
|
|
|
|
|
|
системы узла сети и выхода |
|
|
|
|
|
|
|
|
|
их из нее |
|
|
|
|
|
|
|
|
|
выдачи печатных графиче |
|
+ |
|
+ |
|
+ |
+ |
+ |
+ |
ских выходных документов |
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
Продолжение табл. 2.15
Подсистема и ее |
|
|
|
Классы систем |
|
|
|
||
характеристики |
|
|
|
|
|
|
|
|
|
ЗБ |
ЗА |
2Б |
2А |
1Д |
1Г |
IB |
1Б |
1А |
|
запуска-завершения про |
- |
- |
- |
|
- |
|
|
|
|
грамм процессов заданий, |
|
|
|
+ |
|
+ |
+ |
+ |
+ |
задач |
|
|
|
|
|||||
доступа программ субъектов |
- |
- |
- |
|
- |
|
|
|
|
доступа к защищаемым фай |
|
|
|
|
|
|
|
|
|
лам, включая их создание и |
|
|
|
|
|
|
|
|
|
удаление, передачу по лини |
|
|
|
+ |
|
+ |
+ |
+ |
+ |
ям и каналам связи; |
|
|
|
|
|||||
доступа программ субъектов |
- |
- |
- |
|
- |
|
|
|
|
доступа к терминалам, ЭВМ, |
|
|
|
|
|
|
|
|
|
узлам сети ЭВМ, каналам |
|
|
|
|
|
|
|
|
|
связи, внешним устройствам |
|
|
|
|
|
|
|
|
|
ЭВМ, программам, томам, |
|
|
|
|
|
|
|
|
|
каталогам, файлам, записям, |
|
|
|
+ |
|
+ |
+ |
+ |
+ |
полям записей; |
|
|
|
|
|||||
изменения полномочий субъ |
- |
- |
- |
- |
- |
+ |
+ |
+ |
+ |
ектов доступа |
|||||||||
создаваемых защищаемых |
- |
- |
- |
+ |
- |
- |
+ |
+ |
+ |
объектов доступа |
|||||||||
2.2. Учет носителей инфор |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
мации |
|||||||||
2.3. Очистка, обнуление, |
- |
|
- |
|
- |
|
|
|
|
обезличивание освобождае |
|
|
|
|
|
|
|
|
|
мых областей оперативной |
|
|
|
|
|
|
|
|
|
памяти ЭВМ и внешних на |
|
+ |
|
+ |
|
+ |
+ |
+ |
+ |
копителей |
|
|
|
||||||
3. Криптографическая под |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
система |
|||||||||
3.1. Шифрование конфиден |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
циальной информации |
|||||||||
3.2. Шифрование информа |
- |
- |
- |
- |
- |
- |
- |
- |
|
ции, принадлежащей различ |
|
|
|
|
|
|
|
|
|
ным субъектам доступа, |
|
|
|
|
|
|
|
|
|
группам субъектов на раз |
|
|
|
|
|
|
|
|
+ |
личных ключах |
|
|
|
|
|
|
|
|
|
3.3. Использование аттесто |
- |
- |
- |
|
- |
- |
- |
|
|
ванных сертифицированных |
|
|
|
+ |
|
|
|
+ |
+ |
криптографических средств |
|
|
|
|
|
|
|||
Окончание табл. 2.15
Подсистема и ее |
|
|
|
|
|
Классы систем |
|
|
|
||
характеристики |
|
ЗБ |
|
ЗА |
2Б |
2 А |
1Д |
1Г |
1В |
1Б |
1А |
4. Подсистема обеспечения |
|
+ |
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
целостности |
|
|
|||||||||
4.1. Обеспечение целостно |
|
|
|
|
|
|
|
|
|
|
|
сти программных средств и |
|
+ |
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
обрабатываемой информации |
|
|
|||||||||
4.2. Физическая охрана средств |
|
|
|
|
|
|
|
|
|
|
|
вычислительной техники и |
|
+ |
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
носителей информации |
|
|
|||||||||
4.3. Наличие администратора |
- |
|
- |
|
- |
|
- |
- |
|
|
|
службы защиты информации |
|
|
|
|
|
|
|
|
|
|
|
в автоматизированной систе |
|
|
|
|
|
+ |
|
|
+ |
+ |
+ |
ме обработки данных |
|
|
|
|
|
|
|
||||
4.4. Периодическое тестиро |
|
|
|
|
|
|
|
|
|
|
|
вание средств защиты ин |
|
|
|
|
|
|
|
|
|
|
|
формации несанкциониро |
|
+ |
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
ванного доступа |
|
|
|||||||||
4.5. Наличие средств восста |
|
|
|
|
|
|
|
|
|
|
|
новления средств защиты |
|
|
|
|
|
|
|
|
|
|
|
информации несанкциониро |
|
+ |
|
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
ванного доступа |
|
|
|||||||||
4.6. Использование сертифи |
|
- |
|
+ |
- |
+ |
- |
- |
+ |
+ |
+ |
цированных средств защиты |
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
Содержание средств для каждой группы систем приведено в доку менте. Приведенная в руководящем документе Гостехкомиссии методика распространяется на защиту от несанкционированного доступа к инфор мации, находящейся непосредственно в ЗУ ЭВМ и на сменных машино читаемых носителях. Значительно раньше, в 1978 г., Гостехкомиссией были выпущены руководящие документы, определяющие требования к защите информации в автоматизированных системах от утечки по побоч ным электромагнитным излучениям и наводкам. При разработке назван ных требований учитывались следующие факторы:
1.Доля грифованной информации в общем объеме обрабатываемой информации.
2.Интенсивность обработки грифованной информации, выражаемая относительной долей времени ее обработки в течение суток.
3.Условия расположения аппаратуры автоматизированной системы.