Для каждого из этих событий должна быть зарегистрирована следующая информация:
дата и время;
субъект, осуществляющий регистрируемое действие;
тип события (если регистрируется запрос на доступ, то отмечают объект и тип доступа);
успешно ли осуществилось событие (обслужен запрос на доступ или нет).
При защите должно быть обеспечено выборочное ознакомление с регистрационной информацией.
Для высоких классов защищенности СВТ должна быть предусмотрена регистрация всех попыток доступа, всех действий оператора и выделенных субъектов (например, администраторов защиты).
2.3.В СВТ должен быть обеспечен вывод защищаемой информации на документ вместе с ее классификационной меткой.
3.Требования к гарантиям
3.1.Требования к гарантиям определяют следующие показатели защищенности, которые должны поддерживаться СВТ:
а) гарантии проектирования; б) надежное восстановление;
в) целостность средств и комплексов средств защиты, установленных в СВТ;
г) контроль модификации; д) контроль дистрибуции; е) гарантии архитектуры;
ж) взаимодействие пользователя со средствами и
комплексами средств защиты, установленными в СВТ;
з) тестирование.
3.2.На начальном этапе при проектировании механизмов защиты СВТ должна быть построена модель защиты, задающая принцип разграничения доступа и механизм управления доступом. Эта модель должна содержать:
а) непротиворечивые ПРД; б) непротиворечивые правила изменения ПРД;
в) правила работы с устройствами ввода и вывода; г) формальную модель механизма управления до-
ступом.
Спецификация программных или программноаппаратных средств, применяемых для защиты СВТ и реализующих механизм управления доступом и его интерфейсы, должна быть высокоуровневой. Эта спецификация должна быть верифицирована на соответствие заданным принципам разграничения доступа.
Для высоких классов защищенности СВТ должно быть предусмотрено, чтобы высокоуровневые спецификации были отображены последовательно в спецификации одного или нескольких нижних уровней вплоть до реализации высокоуровневой спецификации на языке программирования высокого уровня.
3.3.Процедуры восстановления после сбоев и отказов оборудования должны обеспечивать полное восстановление свойств защиты.
3.4.В СВТ должны быть предусмотрены средства периодического контроля за целостностью программной и информационной части применяемого комплекса средств защиты.
Программы по обеспечению защиты информации должны выполняться в отдельной части оперативной памяти. Это требование должно быть подвергнуто верификации.
3.5.При проектировании, построении и сопровождении СВТ должно быть предусмотрено управление конфигурацией СВТ, то есть управление изменениями в формальной модели, спецификациях (разных уровней), документации, исходном тексте, версии в объектном коде. Между документацией и текстами программ должно быть соответствие. Генерируемые версии должны быть сравнимыми. Оригиналы программ должны быть защищены.
3.6.При изготовлении копий с оригинала СВТ должен быть осуществлен контроль точности копирования программных или программно-аппаратных средств защиты информации. Изготовленная копия должна гарантированно повторять образец.
3.7.Защита должна обладать механизмом, гарантирующим перехват диспетчером доступа всех обращений субъектов к объектам.
3.8.В СВТ должна быть предусмотрена модульная
ичетко определенная структура построения комплекса средств защиты информации, что делает возможными его изучение, анализ, верификацию и модификацию. Должен быть обеспечен надежный интерфейс пользователя, который должен быть логически изолирован от других интерфейсов.
3.9.В СВТ должны тестироваться:
а) реализация ПРД (перехват явных и скрытых запросов на доступ, правильное распознавание санкционированных и несанкционированных запросов на доступ, функционирование средств защиты механизма разграничения доступа, санкционированные изменения ПРД и др.);
б) очистка оперативной и внешней памяти; в) работа механизма изоляции процессов в опера-
тивной памяти;
г) маркировка документов; д) защита ввода и вывода информации на отчуж-
даемый физический носитель и сопоставление пользователя с устройством;
е) идентификация и аутентификация, а также средства их защиты;
ж) регистрация событий, средства защиты регистрационной информации и возможность санкционированного ознакомления с ней;
з) работа механизма надежного восстановления; и) работа механизма, осуществляющего контроль
за целостностью комплекса средств защиты; к) работа механизма, осуществляющего контроль
дистрибуции.
4.Требования к документации.
4.1.При приемке СВТ, их сертификации и испытаниях других видов необходимо подробное и всестороннее описание принятых мер защиты информации (комплекса средств защиты), т.е. необходима документация, включающая в себя:
а) руководство пользователя; б) руководство по защите информации (комплексу
средств защиты); в) текстовую документацию;
г) конструкторскую (проектную) документацию.
4.2.Руководство пользователя должно включать в себя краткое описание способов использования комплекса средств защиты и его интерфейсов с пользователем.
4.3.Руководство по защите (комплексу средств защиты) адресовано администратору защиты и должно содержать:
а) описание контролируемых функций;
б) руководство по генерации комплекса средств защиты;
в) описание старта СВТ и процедур проверки правильности старта;
г) описание процедур работы со средствами регистрации;
д) руководство по средствам надежного восстановления;
е) руководство по средствам контроля модификации и дистрибуции.
4.4.Тестовая документация должна содержать описание тестов и испытаний, которым подвергались СВТ, а также результатов тестирования.
4.5.Конструкторская (проектная) документация должна содержать:
а) общее описание принципов работы СВТ; б) общую схему защиты информации (применяе-
мого в СВТ комплекса средств защиты); в) описание интерфейсов защиты информации; г) описание модели защиты; д) описание диспетчера доступа;
е) описание механизма контроля целостности комплекса средств защиты;
ж) описание механизма очистки памяти; з) описание механизма изоляции программ в опе-
ративной памяти; и) описание средств защиты ввода и вывода на от-
чуждаемый физический носитель информации и сопоставления пользователя с устройством;
к) описание механизма идентификации и аутентификации;
л) описание средств регистрации;
м) высокоуровневую спецификацию программных и программно-аппаратных средств защиты и их интерфейсов;
н) верификацию соответствия высокоуровневой спецификации комплекса средств защиты модели защиты;
о) описание гарантий проектирования и эквивалентность дискреционных и мандатных ПРД.
Таковы требования, которые должны предъявляться к СВТ, применяемым в ИТКС в защищенном исполнении.
4.3. Особенности задания требований к государственным информационнотелекоммуникационным системам
Деятельность по защите информации в государственных информационных системах, в которых не обрабатывается информация, содержащая сведения, составляющие государственную тайну, регламентируется сегодня нормативным правовым актом [19]. Если в ИТКС циркулирует информация, содержащая сведения, составляющие государственную тайну, или иная информация, обладателями которой являются государство и которая содержит сведения, составляющие служебную тайну, то необходимо руководствоваться требованиями указа Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению безопасности РФ при использовании ИТКС международного информационного обмена». В соответствии с этим указом:
1) не допускается подключение таких информационных систем, информационно-телекоммуникационных сетей и средств вычислительной техники к информацион- но-телекоммуникационным сетям, позволяющим осу-
ществлять передачу информации через государственную границу Российской Федерации, в том числе к международной компьютерной сети Internet;
2) при необходимости подключения таких информационных систем, информационнотелекоммуникационных сетей и средств вычислительной техники к информационно-телекоммуникационным сетям международного информационного обмена такое подключение производится только с использованием специально предназначенных для этого средств защиты информации, в том числе шифровальных (криптографических) средств, прошедших в установленном законодательством Российской Федерации порядке сертификацию в ФСБ России.
С учетом изложенного далее рассматриваются только особенности задания требований к государственным информационно-телекоммуникационным системам, в которых циркулирует информация, не содержащая указанных сведений.
Нормативный правовой акт [19] предназначен для обладателей информации, заказчиков, заключивших государственный контракт на создание государственной ИТКС и операторов государственных информационных систем.
Защита информации, содержащейся в государственной ИТКС, обеспечивается путем выполнения обладателем информации (заказчиком) и (или) оператором требований к организации защиты информации и требований к мерам защиты информации, содержащейся в информационной системе.
Защита информации является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания и в ходе эксплуатации путем принятия организационных и технических мер защиты информации, направленных на
блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках СЗИ в составе информационной системы.
Организационные и технические меры защиты информации, реализуемые в рамках СЗИ, в зависимости от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой, должны быть направлены на исключение:
неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
неправомерных уничтожения или модификации информации (обеспечение целостности информации);
неправомерного блокирования информации (обеспечение доступности информации).
Отмечено, что для обеспечения защиты информации необходимо проводить следующие мероприятия:
формирование требований к защите информации, содержащейся в информационной системе;
разработку СЗИ для информационной системы;
внедрение СЗИ в информационную систему;
аттестацию информационной системы по требованиям защиты информации и ввод ее в действие;
обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
Формирование требований к защите информации, осуществляется с учетом стандартов [12, 51] и включает:
принятие решения о необходимости защиты информации, содержащейся в информационной системе;
классификацию информационной системы по требованиям защиты информации;
определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в ИТКС, и разработку на их основе модели угроз безопасности информации;
определение требований к СЗИ информационной системы.
При принятии решения о необходимости защиты информации в ИТКС должны осуществляться:
анализ целей создания информационной системы и задач, решаемых этой информационной системой;
определение информации, циркулирующей в ИТКС;
анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать ИТКС;
принятие решения о необходимости создания СЗИ в ИТКС, а также определение целей и задач защиты информации, основных этапов создания СЗИ и функций по обеспечению защиты информации обладателя информации (заказчика), опе-
ратора и уполномоченных лиц.
Для дифференцирования задания требований необходимо провести классификацию ИТКС в зависимости от
значимости обрабатываемой в ней информации и масштаба системы (федеральный, региональный, объектовый). В документе установлено четыре класса защищенности информационной системы, определяющие уровни защищенности содержащейся в ней информации. Самый низкий класс – четвертый, самый высокий – первый (рис. 4.8).
Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей). Требование к классу защищенности включается в техническое задание на создание ИТКС и (или) техническое задание (частное техническое задание) на создание СЗИ в составе ИТКС.
Класс защищенности информационной системы подлежит пересмотру при изменении масштаба ИТКС или значимости обрабатываемой в ней информации.
Требования к СЗИ разрабатываются с учетом стандартов [12 - 15, 51], включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание СЗИ и должны в том числе содержать:
цель и задачи обеспечения защиты информации в информационной системе;
класс защищенности информационной системы;
перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
перечень объектов защиты информационной системы;
требования к мерам и средствам защиты информации, применяемым в информационной системе;