Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4612 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Государственный университет морского и речного флота им. С.О. Макарова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
ТОКБ2к / Критерии ИБ.docx
Скачиваний:
137
Добавлен:
15.02.2015
Размер:
130.94 Кб
Скачать
►Содержание►

5. Критерии безопасности

В настоящее время имеет большое значение система стандартов и иных нормативных документов, используемых в большинстве развитых стран и устанавливающих требования к защищенности информации в компьютерных системах. В большинстве случаев эти требования задаются перечнем механизмов защиты, которые необходимо иметь в КС для того, чтобы она соответствовала определенному классу защиты.

Специалистам в области информационной безопасности сегодня почти невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько причин.

1. Необходимость следования некоторым стандартам (например, криптографическим и/или Руководящим документам Гостехкомиссии России) закреплена законодательно.

2. Стандарты и спецификации (СиС) – одна из форм накопления знаний, прежде всего об организационных и формальных средствах ИБ. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.

3. Стандарты и спецификации  являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов, причем в Internet-сообществе это средство действительно работает, и весьма эффективно.

Приведем определения понятий стандарт и стандартизация, данные в законе РФ «О техническом регулировании» от 27 декабря 2002 года под номером 184-ФЗ (принят Государственной Думой 15 декабря 2002 года).

Стандарт – документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг. Стандарт также может содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения.

Стандартизация – деятельность по установлению правил и характеристик в целях их добровольного многократного использования, направленная на достижение упорядоченности в сферах производства и обращения продукции, а также повышение конкурентоспособности продукции, работ или услуг.

Одним из принципов стандартизации, провозглашенных в статье 12 упомянутого закона, является принцип применения международного стандарта как основы для разработки национального, за исключением некоторых случаев (когда применение стандарта невозможно из-за специфики климатических и географических особенностей РФ, противоречит законодательству РФ и т. п.).

В настоящее время существует большое количество (сотни) различных стандартов и спецификаций. На верхнем уровне их можно поделить на две существенно отличающиеся друг от друга группы, органично дополняющих друг друга:

  • оценочные стандарты, предназначенные для оценки и классификации ИС и их средств защиты по требованиям безопасности;

  • технические спецификации, регламентирующие различные аспекты реализации и использования средств и методов защиты.

Оценочные стандарты описывают важнейшие, с точки зрения ИБ, понятия и аспекты ИС, играя роль организационных и архитектурных требований. Технические спецификации определяют, как именно строить ИС предписанной архитектуры и выполнять организационные требования.

Главная задача стандартов и спецификаций  ИБ – создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов ИТ. Каждая из этих групп имеет свои интересы и взгляды на проблему ИБ.

Потребители заинтересованы в инструменте, позволяющем формулировать свои требования к производителям и/или обоснованно выбрать продукт. При этом потребителей интересуют исключительно характеристики конечного продукта, а не методы и средства их достижения

С точки зрения производителя необходим инструмент, позволяющий ограничить фантазию потребителей и разработать продукт, удовлетворяющий требованиям потребителя.

Эксперты рассматривают стандарты как инструмент, позволяющий сделать оценку уровня безопасности, обеспечиваемого продуктом.

Кроме того, все стороны заинтересованы в инструменте, позволяющем выполнить сравнение продуктов между собой. Таким образом, задача стандартов – учесть все три точки зрения и создать механизм взаимодействия сторон (рис. 5.1).

 

 

Рис. 5.1. Взаимодействие сторон

Категорирование информации, составляющей гостайну

Прежде, чем рассмотреть стандарты в области защиты информации, следует напомнить, что вся информация с ограниченным доступом делится на государственную тайну и конфиденциальную информацию.

Согласно Указа Президента РФ от 30.11.1995 № 1203 «Об утверждении Перечня сведений, отнесенных к государственной тайне» гостайна имеет три грифа секретности:

  • сведения особой важности – сведения в области военной, внешнеполитической, экономической, научно технической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб интересам Российской Федерации в одной или нескольких из перечисленных областей;

  • совершенно секретные сведения – сведения вышеназванных областей деятельности, но распространение которых может нанести ущерб интересам министерства (ведомства) или отрасли экономики РФ в одной или нескольких вышеназванных областей;

  • секретные сведения – все иные сведения из числа сведений, составляющих государственную тайну.

Для объектов информатизации (выделенных помещений и объектов вычислительной техники), где обрабатывается гостайна, устанавливают категорию ОИ в зависимости от высшего грифа обрабатываемой гостайны (3 категории).

В соответствии со степенями секретности устанавливаются также формы допуска лиц к информации, составляющей гостайну:

  •  первая форма – для граждан, допускаемых к сведениям особой важности;

  •  вторая форма – к совершенно секретным;

  •  третья форма – к секретным сведениям.

В соответствии с постановлением Правительства РФ  от 14.10.1994 № 1161 «О порядке и условиях выплаты процентных надбавок к должностному окладу (тарифной ставке) должностных лиц и граждан, допущенных к государственной тайне»:

1. Установление для должностных лиц и граждан, допущенных к государственной тайне на постоянной основе ежемесячных процентных надбавок к должностному окладу (тарифной ставке) за работу со сведениями, составляющими государственную тайну, в зависимости от степени секретности сведений, к которым они имеют доступ, в следующих размерах:

  • «ОВ»    – 25 %;

  • «СС»    – 20 %;

  • «С»      – 10 %.

2. Установление для сотрудников структурных подразделений по защите государственной тайне органов государственной власти, предприятий, учреждений и организаций дополнительно ежемесячную процентную надбавку к должностному окладу (тарифной ставке) за стаж работы в указанных подразделениях в следующих размерах:

  •  от 1 до 5 лет               –  5 %;

  •  от 5 до 10 лет             – 10 %;

  •  от 10 лет и выше        – 15 %.

Такие стандарты необходимы производителям, чтобы они знали требование, предъявляемые к защищенным системам, и учитывали их в своих разработках. Пользователи с помощью стандартов могут оценить степень доверия КС, выбираемой для обработки информации. Кроме того, современные стандарты позволяют пользователям самим принимать участие в разработке требований к защищенным системам и таким образом доводить до производителей свои потребности в средствах защиты, способных решать поставленные задачи в заданных условиях. Специалисты по защите информации благодаря стандартам получают возможность использовать согласованную терминологию, а также методики, позволяющие анализировать и оценивать защищенность КС.

В качестве объектов стандартизации рассматриваются средства вычислительной технологии (СВТ), компьютерные системы, информационные технологии и т. п. В работах, проводимых в области стандартизации, исключительно важным является международный опыт. Несмотря на то, что в нашей стране государственные нормативные документы в области защиты информации, обрабатываемой средствами вычислительной техники, начали разрабатываться ещё в 60-е годы, комплексный документ по этому направление впервые появился в США, где в 1983 г. были опубликованы «Критерии оценки безопасности компьютерных систем» (Trusted Computer System Evaluation Criteria, TCSEC), разработанные министерством обороны США. За данным документом закрепилось неформальное название «Оранжевая книга», так как первоначально он был опубликован в виде книги в оранжевой обложке. Критерии TCSEC явились первым открытым стандартом в области безопасности компьютерных систем. Все последующие стандарты разрабатывались под его влиянием и с учетом опыта его использования.

Так в 1991 году страны Европы (Франция, Германия, Великобритания и Голландия) приняли согласованный документ под названием «Information Technology Security Evaluation Criteria, ITSEC».

Определенным аналогом перечисленных стандартов в отечественной практике являются руководящие документы, разработанные в 1992 году Гостехкомиссией при президенте РФ. Данные документы касаются, в основном, проблемы защиты информации от несанкционированного доступа, которая является только частью общей проблемы информационной безопасности.

В 1999 году Международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности приняты «Общие критерии безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation) – ISO/IEC 15408-99. При работе над Общими критериями учитывался опыт разработки уже известных ранее стандартов TCSEC и ITSEC. Данный международный стандарт не является раз и навсегда сформулированным документом. Разработчиками Общих критериев предполагается их обновление с периодичностью в 3–5 лет.

Вывод. Обеспечение безопасности компьютерных систем должно осуществляться в соответствии с нормативными документами. Эти документы целесообразно рассматривать как необходимые общие требования к защищенным компьютерным системам, а также как основу классификации защищенных систем.

Главная задача стандартов информационной безопасности – согласовать позиции и цели производителей, потребителей и аналитиков-классификаторов в процессе создания и эксплуатации продуктов информационных технологий.

Наибольшей популярностью у разработчиков защищенных компьютерных систем пользуются следующие нормативные документы:

1.  Критерии безопасности компьютерных систем Министерства обороны США («Оранжевая книга»).

2.  Европейские критерии безопасности информационных технологий.

3.  Федеральные критерии безопасности информационных технологий.

4.  Канадские критерии безопасности компьютерных систем.

5.  Единые критерии безопасности информационных технологий.

6.  Документы Государственной технической комиссии России.

Соседние файлы в папке ТОКБ2к
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности