3. Гост р 507 39

Средства вычислительной техники (СВТ). Защита от НСД к информации. Общие технические требования.

Область применения. Стандартом устанавливаются требования к защите СВТ от НСД, к составу документации на СВТ, показателям защищенности СВТ, описываемых совокупностью требований к защите и определяющей классификацией СВТ по уровню защиты от НСД.

Применение в СВТ СКЗИ может быть использовано для повышения гарантий качества ЗИ.

СВТ – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Требования к ЗИ реализуются в СВТ в виде совокупности программно-технических средств защиты.

Совокупность всех средств защиты – комплекс средств защиты. (КСЗ)

Стандарт следует использовать при разработке технических заданий (ТЗ), при формулировании и проверке требования к СЗИ.

Защищенность от НСД к информации при её обработке СВТ характеризуется тем, что только надлежащим образом уполномоченные лица или процессы, инициируемые ими, будут иметь доступ к чтению, записи, созданию или уничтожению информации.

Защищенность от НСД обеспечивает следующая группа требований к средства защиты, реализуемых в СВТ:

• Требование к разграничению доступа – СВТ должны поддерживать непротиворечивую однозначность определения прав разграничения доступа

• Требование к учёту – СВТ должны поддерживать регистрации событий, имеющих отношение к защищенности информации

• Требование к гарантиям – необходимо наличие в составе СВТ программных и технических механизмов, позволяющих получить гарантию того, что средства ВТ обеспечивают выполнение требований к разграничению доступа и учету.

Требования к разграничению доступа.

Определают следующие показатели защищенности, которые поддерживает СВТ:

• дискреционнй принцип контроля доступа

• мандатный принцип контроля доступа

• идентификация и аутентификация

• очистка памяти

• изоляция модулей

• защита ввода/вывода на отуждаемых физических носителях информации

• сопоставление пользователя с устройством

Требования к учёту:

Определяют следующие показатели защищенности:

• регистрация

• маркировака документов

Требования к гарантиям

Определяют следующие показатели защищенности:

• гарантии проектирования

• надёжное восстановление

• целостность комплекса средств защиты

• контроль модификации

• коньроль дистрибуции

• гарантии архитектуры

• взаимодействие пользователя с комплексом средств защиты

• тестирование

Для приемки СВТ, их сертификации, испытания и т.п необходимо полное описание комплекса средств защиты, необъодима документация:

• руководство пользователя

• руководство по комплексу средств защиты

• тестовая документация

• конструкторская (проектная) документация

4. Специальные требования и рекомендации по технической защите конфиденциальной информации (стр-к)

Конфиденциальная информация (КИ) – документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ.

НСД (несанкционированный доступ) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых СВТ или АС.

СТР-К устанавливает порядок организации работ, требований и рекомендаций по обеспечению технической ЗИ конфиденциальной информации, на территории РФ и является основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов РФ и органов местного самоуправления, а также предприятий, учреждений, организаций независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.\

Область применения: требования и рекомендации документа распространяются на защиту:

КИ

информацию о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющая идентифицировать его личность (ПД)

Для защиты КИ, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяется собственником ресурсов (коммерческая тайна), СТР-к носит рекомендательный характер.

Основные вопросы ЗИ:

• Организация работ по ЗИ, в том числе при разработке и модернизации СВТ и их систем ЗИ;

• состав и основное содержание организационно-распорядительной проектной, эксплуатационной и иной документации по ЗИ

• требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;

• требования и рекомендации по ЗИ при автоматизированной обработке и передачи с использованием технических средств;

• порядок обеспечения ЗИ при эксплуатации ОИ

• особенности ЗИ при разработке и эксплуатации АС, использующих различные типы СВТ и информационные технологии

• порядок обеспечения ЗИ при взаимодействии абонентов с информационными сетями общественного пользования

Порядок разработки, производства, реализации и использования СКЗИ определяет:

Положение ПКЗ – 2005

Инструкции по организации и обеспечению безопасности хранения, обработки и передачи по техническим каналам связи КИ

Защите подлежит информация, как речевая, так и обрабатываемая техническими средствами, а также предоставленная в виде информативных электронных сигналов, физическими носителями, носителями на бумажной, магнитной, оптической основе, в виде информационных массивов и баз данных в АС.

Защищаемыми ОИ являются:

средства и системы информатизации (СВТ, АС различного уровня и назначения на базе СВТ, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации, программные средства (ОС, СУБД, общесистемное и прикладное ПО), используемые для обработки КИ.

Технические средства и системы, не обрабатывающие непосредственно КИ, но размещенные в помещениях, где КИ обрабатывается (циркулирует)

защищаемые помещения.

ЗИ должна осуществляться путём выполнения комплекса мероприятий и применения СЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам за счет НСД к ней, по предупреждению преднамеренного программно-технического воздействия, с целью нарушения целостности информации о процессе ее обработки, передачи и хранения, нарушая ее доступность и работоспособность ТС.

Лекция 3.

СТР-К

Особое внимание уделяется ЗИ, в отношение которой угрозы безопасности информации реализуются без применения сложных технических средств перехвата информации:

• речевой информации (в защищ. Помемещении)

• информации, обрабатываемой средствами ВТ от НСД и несанкционированных действий

• информации, вывод.на экраны мониторов

• информации, передаваемой по каналам связи, выход.за пределы контролируемой зоны

!!!!Разработка мер и обеспечения ЗИ осуществляется подразделениями по ЗИ (службами безопасности) или отдельными специалистами, назначенными руководителями предприятия для проведения таких работ.

Разработка мер ЗИ может осуществляться сторонними предприятиями, имеющие соответствующие лицензии ФСБ на право оказания услуг в области ЗИ.

Для ЗИ рекомендуется использовать сертифицированные по требованиям безопасности информации технические средства обработки и передачи информации, технические и программные СЗИ. При обработки документированной конфиденциальной информации на ОИ в органах гос.власти РФ и субъектов РФ, других гос. Органах, предприятиях и учреждениях СЗИ подлежат обязательной сертификации.

ОИ (объект информатизации) должен быть аттестован на соответствие требованиям по ЗИ.

Аттестация – комиссионная приемка ОИ силами предприятия с обязательным участием специалистов по ЗИ.

Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей предприятия, эксплуатир. ОИ.

Разработка СЗИ может осуществляться как подразделениями предприятия, так и специализированным предприятием, имеющем лицензии ФСТЭК и/или ФСБ на соответствующий вид деятельности.

Разработка и внедрение СЗИ осуществляется во взаимод.разработ.со службой безопасности предприятия заказчика, кот. Осуществляет методическое руководство и участвует в разработке конкретных требований по ЗИ, аналитич.обосновании необходимости создания СЗИ, согласованного выбора СВТ и связи, технических и программных средств защиты, организ.работ по выявл.возм. и предотвращения утечки и нарушения целостности защищаемой информации и в аттестации ОИ.

Организация работ по созданию и эксплуатации ОИ и СЗИ определяется в «Руководстве по ЗИ» или в спец. «Положение о порядке организации и проведения работ по ЗИ» и должна

предусматривать:

• Порядок определения защищаемой информации

• Порядок привлечения подразделений предприятия, специальной сторонней организации к разработке и эксплуатации ОИ и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации ОИ

• Порядок взаимодействия всех занятых в этой работе организаций, подразделений, специалистов

• Порядок разработки, ввода в действие и эксплуатация ОИ

• Ответственность должностных лиц за своевременность и качество формирования требований по технической ЗИ, за качество и научно-технический уровень разработки СЗИ.

Стадии создания СЗИ:

1. Предпроектная стадия включает в себя: предпроектное обследование ОИ, разраб.аналитич.обоснование необходимости создания систем ЗИ, техническое (частное) техническое задание на создание системы ЗИ

2. Стадия проектирования (разработка проектов) и реализация ОИ – разработка системы ЗИ в составе ОИ

3. Стадия ввода в действие системы ЗИ – опытная эксплуатация, приемо-сдаточные испытания СЗИ, аттестация ОИ на соответствие требованиям безопасности информации.

Техническое задание (ТЗ) на разработку системы ЗИ должно содержать:

• Обоснование разработки

• Исходные данные создав. (модернизир.) ОИ в технических, программных, информационных и организационных аспектах.

• Класс защищенности АС

• Ссылки на нормативные документы, с учетом которых будет разрабатываться система ЗИ и приниматься в эксплуатации ОИ

• Конкретизацию требований к системе ЗИ на основе действия нормативно-методических документов и установленного класса защищенности АС

• Перечень предполагаемых к использованию сертифицированных средств ЗИ

• Обоснование проведения разработки собственных СЗИ (если требуется), обоснование невозможности или нецелесообразности использования имеющихся на рынке сертифицированных СЗИ

• Состав, содержание и сроки проведения работ по этапам разработки и внедрения

• Перечень подрядных организационно-исполнительных видов работ.

Контроль состояния ЗИ – периодический, не реже одного раза в год.

Основные направления ЗИ:

• Обеспечение ЗИ от хищения, утраты, утечки, уничтожения, искажения и подделки за счет НСД к информации и специального воздействия на информацию

• Обеспечение ЗИ от утечки по техническим каналам ее обработки, хранения и передачи по каналам связи

Основные меры ЗИ:

• Реализация разрешительной системы допуска исполнителя (пользователь, обслуживающий персонал) к информации и связанным с ее использованием работам, документам

• Ограничение доступа персонала и посторонних лиц в защищаемом помещении и помещении, где размещены средства информатизации и коммуникации, хранятся носители информации

• Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки/передачи и защиты информации

• Регистрация действий пользователей АС и обслуживающего персонала, контроль за НСД и действиями пользователей, обслуживающего персонала и посторонних лиц

• Необходимость резервирования технических средств и дублирования массивов и носителей информации

• Использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки информации, передачи и хранения информации

• Использование сертифицированных СЗИ

• Использование защищенных каналов связи (возможно с применением СКЗИ)

• Криптографическое преобразование информации, обрабатываемой и передаваемой СВТ и связи (при необходимости определяемой особенностями функционирования копир.АС и систем связи)

• Предотвращение внедрения в АС программ-вирусов и программных закладок

Лекция 4.

Взаимосвязь открытых систем

ГОСТ З ИСО/МЭК 7498-1. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель.