Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Основы защиты информации(Герасименко,Малюк).doc
Скачиваний:
163
Добавлен:
18.05.2021
Размер:
5.93 Mб
Скачать

Глава 4

Al - верифицированный проект - системы, функционально эквива­лентные системам класса ВЗ, но верификация которых осуществлена строго формальными методами. Управление системой осуществляется по строго определенным процедурам. Обязательно введение должности ад­министратора безопасности.

Аналогичный подход реализован и в руководящем документе Го-стехкомиссии России "Классификация автоматизированных систем и требования по защите информации", выпущенном в 1992 году.

В названном документе выделено девять классов защищенности ав­томатизированных систем от несанкционированного доступа к информа­ции, а для каждого класса определен минимальный состав необходимых механизмов защиты и требования к содержанию защитных функций каж­дого из механизмов в каждом из классов систем.

Классы систем разделены на три группы, причем основным крите­рием деления на группы приняты специфические особенности обработки информации, а именно:

третья группа - системы, в которых работает один пользователь, допущенный ко всей обрабатываемой информации, размещенной на но­сителях одного уровня конфиденциальности. К группе отнесены два клас­са, обозначенные ЗБ и ЗА;

вторая группа - системы, в которых работает несколько пользова­телей, которые имеют одинаковые права доступа ко всей информации, обрабатываемой и/или хранимой на носителях различного уровня кон­фиденциальности. К группе отнесены два класса, обозначенные 2Б и 2А;

первая группа - многопользовательские системы, в которых одно­временно обрабатывается и/или хранится информация разных уровней конфиденциальности, причем различные пользователи имеют различные права на доступ к информации. К группе отнесено пять классов: 1Д, 1Г, 1В, 1Би1А.

Требования к защите растут от систем класса ЗБ к классу 1 А.

Все механизмы защиты разделены на четыре подсистемы следую­щего назначения:

  1. управления доступом;

  2. регистрации и учета;

  3. криптографического закрытия;

  4. обеспечения целостности.

Методы определения требований к защите информации

5) Состав перечисленных подсистем приведен в табл. 4.1, причем крестиком (+) обозначена необходимость соответствующих средств для соответствующих классов систем. Содержание средств для каждой груп­пы систем приведено в указанном выше руководящем документе.

Приведенная выше и закрепленная в руководящем документе Го-стехкомиссии методика распространяется на защиту от несанкциониро­ванного доступа (НСД) к информации, находящейся непосредственно в ЗУ ЭВМ и на сменных машиночитаемых носителях. Значительно раньше (1978 г.) Гостехкомиссией были выпущены руководящие документы, определяющие требования к защите информации в автоматизированных системах от утечки по побочным электромагнитным излучениям и навод­кам (ПЭМИН). При разработке названных требований учитывались сле­дующие факторы:

  1. доля грифованной информации в общем объеме обрабатываемой;

  1. интенсивность обработки грифованной информации, выражае­ мая относительной долей времени ее обработки в течение суток;

  1. условия расположения аппаратуры автоматизированной системы.

В зависимости от сочетания значений перечисленных факторов каждой системе, используемой для обработки грифованной информации, присваивалась четвертая, третья, вторая или первая категория. В систе­мах четвертой категории специальная защита информации от утечки по ПЭМИН не требуется, для систем более высоких категорий сформулиро­ваны специальные требования, определяющие перечень тех средств защи­ты, которые должны использоваться в обязательном порядке.

Наличие рассмотренных методик и закрепление их в официальных документах создает достаточно надежную базу для защиты информации на регулярной основе. Однако нетрудно видеть, что с точки зрения со­временной постановки задачи защиты информации имеющиеся методики являются недостаточными по ряду причин, а именно:

  1. методики ориентированы на защиту информации только в средствах ЭВТ, в то время как имеет место устойчивая тенденция органи­ ческого сращивания автоматизированных и традиционных технологий обработки информации;

  2. учитываются далеко не все факторы, оказывающие существенное влияние на уязвимость информации, а потому и подлежащие учету при определении требований к защите;

  3. в научном плане они обоснованы недостаточно (за исключением требований к защите информации от утечки по техническим каналам).

205