Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Скачиваний:
34
Добавлен:
27.05.2015
Размер:
119.3 Кб
Скачать

Лабораторная работа № 4

Руководящие документы Гостехкомиссии России”

Цель работы:

Изучить стандарт информационной безопасности“ Руководящие документы Гостехкомиссии России”.

1. Теоретическое введение

1.1. Основные положения

В 1992 г. Гостехкомиссия (ГТК) при Президенте Российской феде­рации (РФ) опубликовала пять Руководящих документов, посвященных вопросам защиты от несанкционированного доступа к информации [1,2,3,4,5]. Мы рассмотрим важнейшие их них — "Концепция защиты средств вычислительной техники от несанкционированного доступа к ин­формации", "Средства вычислительной техники. Защита от несанкциони­рованного доступа к информации. Показатели защищенности от несанк­ционированного доступа к информации", "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации".

Идейной основой этих документов является "Концепция защиты средств вычислительной техники от несанкционированного доступа к ин-формации(НСД)"[1], содержащая систему взглядов ГТК на проблему ин­формационной безопасности и основные принципы защиты компьютер­ных систем. С точки зрения разработчиков данных документов основная и едва ли не единственная задача средств безопасности — это обеспечение защиты от несанкционированного доступа к информации. Если средствам контроля и обеспечения целостности еще уделяется некоторое внимание, то поддержка работоспособности систем обработки информации (как мера защиты от угроз работоспособности) вообще не упоминается. Определен­ный уклон в сторону поддержания секретности объясняется тем, что эти документы были разработаны в расчете на применение в информацион­ных системах министерства обороны и спецслужб РФ, а также недоста­точно высоким уровнем информационных технологий этих систем по сравнению с современным.

1.2. Таксономия критериев и требований безопасности

Руководящие документы ГТК предлагают две группы критериев безопасности — показатели защищенности средств вычислительной тех­ники (СВТ) от НСД и критерии защищенности автоматизированных сис­тем (АС) обработки данных. Первая группа позволяет оценить степень защищенности (правда только относительно угроз одного типа — НСД) отдельно поставляемых потребителю компонентов ВС, а вторая рассчита­на на полнофункциональные системы обработки данных.

Поскольку данные документы легко доступны и часто служили объектами комментариев и критики[6], ограничимся только кратким обзо­ром их основных положений.

1.2.1. Показатели защищенности СВТ от НСД

Данный руководящий документ устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элемен­тов систем обработки данных, способных функционировать самостоя­тельно или в составе других систем.

Данные показатели содержат требования защищенности СВТ от НСД к информации и применяются к общесистемным программным сред­ствам и операционным системам (с учетом архитектуры ЭВМ). Конкрет­ные перечни показателей определяют классы защищенности СВТ и опи­сываются совокупностью требований. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ).

Установлено семь классов защищенности СВТ от НСД к информа­ции. Самый низкий класс — седьмой, самый высокий — первый.

Показатели защищенности и установленные требования к классам приведены в

Табл. 1.

Таблица 1.Распределение показателей защищённости по классам СВТ

Наименование показателя

Класс защищенности

6

5

4

3

2

1

Дискреционный принцип контроля доступа

+

+

+

=

+

=

Мандатный принцип контроля доступа

-

-

+

=

=

=

Очистка памяти

-

+

+

+

=

=

Изоляция модулей

-

-

+

=

+

=

Маркировка документов

-

-

+

=

=

=

Защита ввода и вывода на отчужденный физический носитель информации

-

-

+

=

=

=

Сопоставление пользователя с устройством

-

-

+

=

=

Идентификация и аутентификация

+

=

+

=

=

=

Гарантии проектирования

-

+

+

+

+

Регистрация

-

+

+

+

=

=

Взаимодействие пользователя с КСЗ

-

-

-

+

=

=

Надежное восстановление

-

-

-

+

=

-

Целостность КСЗ

-

+

+

+

=

=

Контроль модификации

-

-

-

-

+

=

Контроль дистрибуции

-

-

-

-

+

=

Гарантии архитектуры

-

-

-

-

-

+

Тестирование

+

+

+

+

+

=

Руководство пользователя

+

=

=

=

=

Руководство по КСЗ

+

+

=

+

+

=

Текстовая документация

+

+

+

+

+

=

Конструкторская (проектная) документация

+

+

+

+

+

+

Обозначения: "-" - нет требований к данному классу;

"+" - новые или дополнительные требования;

"=" - требования совпадают с требованиями к СВТ предыдущего класса;

"КСЗ" - комплекс средств защиты.

1.2.2. Требования к защищенности автоматизированных систем

Данные требования являются составной частью критериев защи­щенности автоматизированных систем обработки информации от НСД. Требования сгруппированы вокруг реализующих их подсистем защиты. В отличие от остальных стандартов отсутствует раздел, содержащий требо­вания по обеспечению работоспособности системы, зато присутствует раздел, посвященный криптографическим средствам. Другие стандарты информационной безопасности, не содержат даже упоминания о крипто­графии, т. к. рассматривают ее исключительно в качестве механизма защиты, реализующего требования аутентификации, контроля целостности и т. д. Исключением являются только "Единые критерии" (раздел 2.10), однако и в них требования раздела криптографии касаются распределения ключей, все остальное регламентируется отдельными стандартами. Таксо­номия требований к средствам защиты АС от НСД приведена на рис. 2.3.

Соседние файлы в папке Лабораторные Метрология