Добавил:

mihail1000 Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Воронежский государственный технический университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

Проектирование защищенных информационнотелекоммуникационных систем. Язов Ю.К

.pdf

Скачиваний:

Добавлен:

01.05.2022

Размер:

7.37 Mб

Скачать

☆

<<< < Предыдущая 23 24 25 26 27 28 29 30 31 32 33 3435 / 6435 36 37 38 39 40 41 42 43 44 45 46 47 > Следующая >>>

К средствам защиты от НСД относятся:

межсетевые экраны, фильтры, proxy-серверы;

средства антивирусной защиты;

средства обнаружения вторжений;

средства идентификации и аутентификации и иные средства разграничения (контроля) доступа;

средства поиска уязвимостей и анализа защищенности (сканеры безопасности);

средства резервирования;

средства восстановления;

средства контроля целостности;

средства контроля (выявления каналов) утечки информации (например, DLP-системы21);

средства уничтожения остаточной информации

средства отвлечения (обмана);

средства изолирования, разделения операционной среды;

средства контроля вскрытия аппаратуры и др. Некоторые из этих средств реализуются в рамках

операционной системы (например, индивидуальные межсетевые экраны, средства идентификации и аутентификации, средства резервирования, восстановления и контроля целостности), другие – специально разрабатываются и устанавливаются в информационных системах для усиления защиты (например, средства антивирусной защиты, обнаружения вторжений, сканеры безопасности, DLPсистемы и т.п.). Для каждого средства защиты формируется свой набор требований, касающихся характеристик и условий его применения.

21 см. раздел 6

341

Наконец, мера защиты – это действие или совокупность действий, направленных на разработку или практическое применение способов или средств защиты информации [10]. Меры защиты могут быть организационными и техническими. Организационные меры реализуются без применения аппаратного или программного обеспечения и касаются действий персонала информационной системы. К таким мерам могут относиться, например, ограничение доступа лиц на территорию, к оборудованию и программному обеспечению, реализуемое подразделениями охраны, правила регистрации и применения отчуждаемых носителей, установление времени смены паролей в организации, назначение ответственных лиц в области обеспечения безопасности информации и др. Требования к организационным мерам касаются их состава и содержания, сроков и места применения, исполнителей и др.

Технические меры, напротив, реализуются с применением программных, аппаратных или программноаппаратных средств. В требованиях к этим мерам указывается состав и содержание мер, которые должны применяться в информационной системе, средства, с помощью которых реализуется каждая мера, сроки, места и порядок их применения и др. Более подробно о требованиях к мерам и средствам изложено в разделе 5.

Для регламентации деятельности в области защиты информации со стороны государства законодательными органами и уполномоченными федеральными органами исполнительной власти разрабатываются соответствующие документы, состав видов которых приведен на рис. 4.3.

342

Законы Российской Федерации

Организационно-	Нормативные	Методические
	документы	документы
распорядительные документы

		Стандарты	Специальные	Модели
Стратегии	Концепции	Стандарты	нормативные	Модели
Стратегии	Концепции		нормативные
		Международные	документы
		Международные
			Специальные	Методики
			Специальные
Доктрины	Положения	Национальные	требования и
			рекомендации
		Правила стандартизации	Руководящие	Руководства
		(своды правил)	Руководящие	Руководства
		(своды правил)	документы
Основные	Инструкции		документы
Основные
направления
направления		Нормы и рекомендации в	Нормативные
		области стандартизации	правовые акты	Рекомендации

Рис. 4.3. Система видов нормативных и методических документов, регламентирующих деятельность по защите информации в ИТКС

343

Следует отметить, что сегодня отсутствуют документы, целенаправленно регламентирующие деятельность по защите информации в ИТКС. Поэтому на практике руководствуются национальными стандартами и нормативными документами федеральных органов исполнительной власти, содержащими общие требования по защите информации в любых автоматизированных системах, и в частности нормативными документами ФСТЭК России

(рис. 4.4 и 4.5).

Следует отметить, что в государственных стандартах пока приводятся в основном общие требования по защите информации, касающиеся организации защиты, или общие требования по обеспечению безопасности информационных технологий, и лишь в части высоконадежной биометрической аутентификации требования касаются средств защиты.

В связи с этим при проектировании ИТКС в защищенном исполнении используют преимущественно нормативные документы федеральных органов исполнительной власти, которые являются обязательными для государственных информационных систем и информационных систем персональных данных. Наличие нескольких нормативных документов, казалось бы, может вызвать сложности в определении того из них, которым нужно руководствоваться при обосновании требований к ИТКС, особенно когда такая система одновременно является государственной и относится к информационным системам персональных данных. Общая схема определения документа уполномоченного федерального органа исполнительной власти, который следует использовать в интересах обоснования требований по защите информации в ИТКС показана на рис. 4.6.

344

Государственные стандарты

ГОСT P 51624-2000 – Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования

ГОСТ 34. 602-89 - Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы

ГОСТ Р 50739-95. Средства вычислительной техники. Защита от НСД к информации. Общие технические требования

ГОСТ 51188-1998. Защита информации. Испытания программных средств нга наличие компьютерных вирусов . Типовое руководство

ГОСТ Р 53113.1-2008 Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения

ГОСТ Р 53113.2-2009 Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов

ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем.

ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции.

ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения.

ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы.

ГОСТ Р ИСО/МЭК 15408-1,-2,-3, 2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1-3

ГОСТ Р ИСО/МЭК ТО 15446-2008. Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности

ГОСТ Р ИСО/МЭК 27000-2012 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Общий обзор и терминология

ГОСТ Р ИСО/МЭК 27003-2012. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности

ГОСТ Р ИСО/МЭК 27005-2010 - Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

ГОСТ Р 52633-2006. Защита информации. Техника защиты информации. Требования к средствам высоконадежной биометрической аутентификации

ГОСТ Р 52633.1-2009. Защита информации. Техника защиты информации. Требования к формированию баз естественных биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации

ГОСТ Р 52633.2-2010 - Защита информации. Техника защиты информации. Требования к формированию синтетических биометрических образов, предназначенных для тестирования средств высоконадежной биометрической аутентификации

ГОСТ Р 52633.3-2011 — Защита информации. Техника защиты информации. Тестирование стойкости средств высоконадежной биометрической защиты к атакам подбора

ГОСТ Р 52633.4-2011 - Защита информации. Техника защиты информации. Интерфейсы взаимодействия с нейросетевыми преобразователями биометрия - код доступа

ГОСТ Р 52633.5-2011. Защита информации. Техника защиты информации. Автоматическое обучение нейросетевых преобразователей биометрия-код доступа

ГОСТ Р 52633.6-2011. Защита информации. Техника защиты информации. Требования к индикации близости предъявленных биометрических данных образу «Свой»

ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения.

ГОСТ Р ИСО/МЭК 27001-2006. Информационные технологии – Средства обеспечения безопасности – Системы менеджмента информационной безопасности – Требования

ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

Рис. 4.4. Государственные стандарты в области защиты информации

345

Для всех информационных систем

Специальные требования и рекомендации по защите конфиденциальной информации (СТР-К). Приказ председателя Гостехкомиссии России от 2.03.2001 г. Решение Гостехкомиссии России

от 23.05.1997 г. №55

Указ Президента Российской Федерации от

17марта 2008 г. №351 «О мерах по обеспечению безопасности РФ при использовании ИТКС международного информационного обмена»

Руководящий документ. Автоматизированные

системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации . М.: Военное издательство. 1992.

Руководящий документ. Средства вычислитель-

ной техники. Защита от несанкционированного доступа к информации. Показатели защищенности. М.: Военное издательство. 1992

Руководящий документ. Защита от несанкциони-

рованного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. М.; 1999 г.

Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности.

Гостехкомиссия России, 2003 г.

Для государственных информационных систем

Требования о защите информации, не состав-

ляющей государственную тайну, содержащейся в государственных информационных системах. Приказ ФСТЭК России от 11 февраля 2013 г. №17

Для ключевых систем информационной инфра-

структуры

Требования к обеспечению защиты информа-

ции в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды. Приказ ФСТЭК России от 14 марта 2014 г. №31

Для информационных систем персональных

данных

Постановление Правительства Российской Федерации от 1 ноября 2012 г.

№ 1119 "Об утверждении требований к защите ПДн при их обработке в ИСПДн"

Состав и содержание организационных и тех-

нических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. Приказ ФСТЭК России от 18 февраля 2013 г. №21

Базовая модель угроз безопасности персо-

нальных данных при их обработке в информационных системах персональных данных.

2008 г.

Для средств и систем защиты информации

Руководящий документ. Средства вычислительной техники. Меж-

сетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. М.: 1997

Требования к системам обнаружения вторжений. Приказ ФСТЭК России от « 6 » декабря 2011 г. № 638

Требования в области технического регулирования к продукции, используемой в целях защиты сведений, составляющих государственную тайну или относимых к охраняемой в соответствии с законодательством Российской Федерации иной информации ограниченного доступа (требования к средствам антивирусной защиты).

Приказ ФСТЭК России от « 20 » марта 2012 г. № 28

Рис. 4.5. Документы федеральных органов исполнительной власти, регламентирующие деятельность в области защиты информации в ИТКС

346

Определение группы, к которой относится ИТКС

							Формулируются требова-
В ИТКС циркулирует ин-	нет		В ИТКС циркулирует		нет		ния к целостности и до-
формация, составляющая			иная информация, огра-				ступности системного, при-
государственную тайну			ниченного доступа				кладного ПО и пользова-
							кладного ПО и пользова-
							тельских данных
				да


да
да
ИТКС не относится ни к государствен-		ИТКС является госу-	ИТКС является инфор-		ИТКС является государственной и
ной, ни информационной системой пер-		ИТКС является госу-	мационной системой		одновременно информационной
ной, ни информационной системой пер-		дарственной	мационной системой		одновременно информационной
сональных данных		дарственной	персональных данных			системой персональных данных
сональных данных			персональных данных			системой персональных данных

Выбор класса и формули-	Выбор класса и формулиро-	Выбор класса и формули-	Выбор уровня защищенности	Выбираются более
рование требований в со-	Выбор класса и формулиро-	Выбор класса и формули-	Выбор уровня защищенности	жесткие требования из двух
	вание требований в соответ-	рование требований в соот-	и формулирование требова-	жесткие требования из двух
				нормативных правовых ак-
ответствии с РД АС (для				нормативных правовых ак-
ответствии с РД АС (для	ствии с РД АС (для классов	ветствии с приказом	ний в соответствии с прика-	тов, соответствующих
классов 3А, 2А или 1В, 1Б,	ствии с РД АС (для классов	ветствии с приказом	ний в соответствии с прика-	тов, соответствующих
классов 3А, 2А или 1В, 1Б,	1Г, 1Д)	ФСТЭК России №17	зом ФСТЭК России №21	приказам ФСТЭК
1А	1Г, 1Д)	ФСТЭК России №17	зом ФСТЭК России №21	приказам ФСТЭК
1А				России №17 и №21
				России №17 и №21

Рис. 4.6. Общая схема определения документа уполномоченного федерального органа исполнительной власти в интересах обоснования требований по защите информации в ИТКС

347

При этом для обеспечения безопасности персональных данных при их обработке в государственных информационных системах в дополнение к Требованиям, утвержденным приказом ФСТЭК России от 11 февраля 2013 г. N 17, необходимо руководствоваться требованиями (в том числе в части определения уровня защищенности персональных данных), установленными постановлением Правительства Российской Федерации от 1 ноября 2012 г. N 1119 [23], и должно быть обеспечено соответствующее соотношение класса защищенности государственной информационной системы с уровнем защищенности персональных данных. В случае, если определенный в установленном порядке уровень защищенности персональных данных выше, чем установленный класс защищенности государственной информационной системы, то осуществляется повышение класса защищенности до значения, обеспечивающего выполнение пункта 27 Требований, утвержденных приказом ФСТЭК России от 11 февраля

2013 г. N 17 [19].

4.2. Требования по защите информации в соответствии действующими руководящими документами

ФСТЭК России

Информационно – телекоммуникационные системы являются автоматизированными системами, требования к которым по защите информации от НСД независимо от назначения автоматизированной системы устанавливаются в соответствии с руководящим документом Гостехкомис-

сии [48, 49].

Согласно этому документу требования предъявляются в интересах защиты информации от НСД. В документе подчеркивается, что комплекс средств защиты и органи-

348

зационных (процедурных) решений по защите информации от НСД должен реализовываться в рамках системы защиты информации от НСД, включающей в себя следующие четыре подсистемы22:

управления доступом;

регистрации и учета;

криптографической;

обеспечения целостности.

Состав указанных подсистем зависит от класса защиты ИТКС. Выбор требуемого класса защиты определяется:

перечнем защищаемых информационных ресурсов ИТКС и их уровнем конфиденциальности;

перечнем лиц, имеющих доступ к штатным средствам ИТКС, с указанием их уровня полномочий;

матрицей доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам ИТКС;

режимом обработки данных в ИТКС.

Взависимости от указанных признаков для любых информационных систем может быть введен один из девяти классов защищенности, объединяемых в три группы

(рис. 4.7):

третья группа классифицирует информационные системы, в которых работает один пользователь, допущенный ко всей информации в информационной системе, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А;

22 Сегодня состав подсистем в СЗИ значительно шире (см. раздел 6)

349

Третья группа

В информационной системе работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности.

3Б

3А

Вторая группа

В информационной системе пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или ) хранимой на носителях различного уровня конфиденциальности

2Б

2А

Первая группа

В многопользовательской информационной системе одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации

1Д

1Г

1В

1Б

1А

Рис. 4.7. Классы защищенности информации в информационной системе

350

<<< < Предыдущая 23 24 25 26 27 28 29 30 31 32 33 3435 / 6435 36 37 38 39 40 41 42 43 44 45 46 47 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]