- •Стандарты в информационной безопасности
- •1. Политика безопасности
- •2. Подотчётность
- •3. Гарантии
- •I. Группа d – минимальная защита.
- •II. Группа c - дискреционная защита.
- •3. Группа b – мандатная защита
- •4. Группа a – верифицированная защита
- •1. Подсистема управления доступом
- •2. Подсистема регистрации и учёта
- •3. Криптографическая подсистема
- •4. Подсистема обеспечения целостности
- •1. Контроль состава и содержания документации
- •2. Контроль исходного состояния программного обеспечения.
- •3. Статический анализ исходных текстов программ.
- •4. Динамический анализ исходных текстов программ
- •5. Отчётность
- •1. Потребители.
- •2. Разработчики
- •3. Оценщики
- •2. Угрозы безопасности
- •3.4.3. Структура и содержание профиля защиты
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
- в систему;
- к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;
- к программам;
- к томам, каталогам, файлам, записям, полям записей.
1.2. Управление потоками информации
2. Подсистема регистрации и учёта
2.1. Регистрация и учёт:
- входа (выхода) субъектов доступа в (из) систему (узел сети);
- выдачи печатных (графических) выходных документов;
- запуска (завершения) программ и процессов;
- доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи;
- доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
- изменения полномочий субъектов доступа;
- создаваемых защищаемых объектов доступа.
2.2. Учёт носителей информации.
2.3. Очистка освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.
2.4. Сигнализация попыток нарушения защиты.
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации.
3.2. Шифрование информации, принадлежащей различным субъектам доступа (или группам субъектов), на различных ключах.
3.3. Использование аттестованных (сертифицированных) криптографических средств.
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации.
4.2. Физическая охрана СВТ и носителей информации.
4.3. Наличие администратора (службы) защиты информации в АС.
4.4. Периодическое тестирование средств защиты информации (СЗИ) от НСД.
4.5. Наличие средств восстановления СЗИ от НСД.
4.6. Использование сертифицированных средств защиты.
Проверка соответствия требованиям по защите информации от НСД для АС производится в рамках сертификационных или аттестационных испытаний.
Средства вычислительной техники. Межсетевые экраны. Защита от НСД. Показатели защищённости от НСД к информации
Руководящий документ [31] устанавливает классификацию межсетевых экранов по уровню защищённости от НСД к информации на базе перечня показателей защищённости и совокупности описывающих их требований.
Показатели защищённости применяются к межсетевым экранам (МЭ) для определения уровня защищённости, который они обеспечивают при межсетевом взаимодействии.
Устанавливаются 5 классов защищённости МЭ, однозначно сопоставленных с классами автоматизированных систем (табл. 3.3.5).
Таблица 3.3.5. Соответствие классов защищённости МЭ и АС
|
Класс МЭ |
Класс АС |
|
5 |
1Д |
|
4 |
1Г |
|
3 |
1В |
|
2 |
1Б |
|
1 |
1А |
Тем самым, для каждого класса защищённости АС определён класс МЭ, который должен применяться для осуществления безопасного взаимодействия АС с внешней средой.
Принадлежность к тому или иному классу МЭ определяется путём анализа соответствия следующим показателям защищённости:
1. Управление доступом (фильтрация данных и трансляция адресов). Для различных классов защищённости фильтрация производится на разных уровнях модели ISO/OSI.
2. Идентификация и аутентификация (входящих и исходящих запросов).
3. Регистрация.
4. Администрирования: идентификация и аутентификация.
5. Администрирование: регистрация.
6. Администрирование: простота использования.
7. Целостность.
8. Восстановление.
9. Тестирование (возможность проведения регламентного тестирования).
10. Руководство администратора защиты.
11. Тестовая документация.
12. Конструкторская (проектная) документация.
Ключевая особенность рассмотренного документа состоит в том, что классификация межсетевых экранов производится в том числе и по уровням модели ISO/OSI, на которых осуществляется фильтрация. Данный подход впервые был предложен именно в этом руководящем документе.
Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей
Руководящий документ [32] устанавливает классификацию программного обеспечения по уровню контроля отсутствия в нём недекларированных возможностей.
Под недекларированными возможностями понимаются возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.
Одной из возможных реализаций недекларированных возможностей являются программные закладки – преднамеренно внесённые в программное обеспечение (ПО) функциональные объекты, которые при определённых условиях инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации.
Устанавливаются 4 уровня контроля, каждый из которых характеризуется определённой совокупностью минимальных требований. В общем случае к ПО предъявляются следующие требования:
- Требования к документации