- •Часть 2
- •1.2. Требования по защите информации от
- •1.3. Требования к автоматизированным системам защиты третьей группы (см. Табл. 5)
- •1.4. Требования к автоматизированным системам защиты второй группы (см. Табл. 6)
- •Криптографическая подсистема
- •10.5. Требования к автоматизированным системам защиты первой группы (см.Табл. 7)
- •Подсистема регистрации и учета
- •2. Порядок выполнения работы
Часть 2
СЕРТИФИКАЦИЯ ИНФОРМАЦИОННЫХ СИСТЕМ
ЛАБОРАТОРНАЯ РАБОТА № 9
Требования по защите информации от несанкционированного доступа для автоматизированных систем
Цель работы
Получить навыки по защите информации от несанкционированного доступа для автоматизированных систем
Теоретическое введение
1.1.Основные характеристики технических средств защиты от несанкционированного доступа
Основными характеристиками технических средств защи- ты являются:
« степень полноты и качество охвата ПРД реализованных СРД;
состав и качество обеспечивающих средств для СРД;
гарантии правильности функционирования СРД и обес- печивающих ее средств.
Полнота и качество охвата ПРД оценивается по наличию четких, непротиворечивых, заложенных с СРД правил доступа к объектам доступа и мерам их надежной идентификации.
При оценке состава и качества обеспечивающих средств для СРД учитываются средства идентификации и опознании субъ- ектов и порядок их использования, полнота учета действий субъектов и способы поддержания привязки субъекта к его про- цессу.
Гарантии правильности функционирования оцениваются по способам проектирования и реализации СРД и обеспечивающих ее средств (формальная и неформальная верификация), а также по составу и качеству препятствующих обходу СРД средств (под- держание целостности СРД и обеспечивающих средств, восста- новление после сбоев, отказов и попыток НСД, контроль дис- трибуций, возможность тестирования на этапе эксплуатации).
Оцениваемые ИИСУП или СВТ должны быть тщательно документированы. В состав документации включаются «Руко- водство пользователя по использованию защитных механиз- мов» и «Руководство по управлению средствами защиты».Для ИИСУП и СВТ, претендующих на высокий уровень за- щищенности, оценка осуществляется при наличии проектной документации (эскизный, технический и рабочий проекты, а также описания процедур тестирования и их результатов).
Оценка защищенности СВТ проводится в соответствии с Положением о сертификации средств и систем вычислитель- ной техники и связи по требованиям защиты информации, Временным положением по организации разработки, изготов- ления и эксплуатации программных и технических средств за- щиты информации от несанкционированного доступа в авто- матизированных системах и средствах вычислительной техни- ки и другим документам.
1.2. Требования по защите информации от
несанкционированного доступа для
автоматизированных систем
Защита информации от НСД является составной частью об- щей проблемы обеспечения безопасности информации. Ме- роприятия по защите информации от НСД должны осуществ- ляться во взаимосвязи с мероприятиями по специальной за- щите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств раз- ведки и промышленного шпионажа.
В общем случае комплекс программно-технических средств и организационных (процедурных) решений по защите инфор- мации от НСД реализуется в рамках автоматизированной СЗИ НСД, условно состоящей из следующих четырех подсистем:
« подсистема управления доступом;
■ подсистема регистрации и учета;
» криптографическая подсистема;
» подсистема обеспечения целостности.