Приложение 2. Перечень нормативных документов, используемых при организации защиты информации с использованием комплекса "Аккорд".

1. Закон Российской Федерации "О государственной тайне" от 21.7.93г. N 5485-1.

2. Закон Российской Федерации "Об информации, информатизации и защите

информации" от 25.1.95 г.

3. Закон Российской Федерации "О коммерческой тайне"(проект, в.28.12.94 г.).

4. Закон Российской Федерации "О персональных данных" (проект, в. 20.02.95г.).

5. Закон Российской Федерации "О федеральных органах правительственной связи

и информации" от 19.2.93 г. N 4524-1.

6. Положение о государственной системе защиты информации в Российской

Федерации от ИТР и от утечки по техническим каналам.(Постановление

Правительства РФ от 15.9.93 г.N 912-51).

7. Положение о Государственной технической комиссии при Президенте Российской

Федерации (Гостехкомиссии России), распоряжение Президента Российской

Федерации от 28.12.92 г. N 829-рпс.

8. РД. АС. Защита от НСД к информации. Классификация АС и требования по

защите информации. -М.: Гостехкомиссия России, 1992.

9. РД. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к

информации. -М.: Гостехкомиссия России, 1992.

10. РД. Концепция защиты СВТ и АС от НСД к информации. -М.: Гостехкомиссия

России, 1992.

11. РД. Защита от НСД к информации. Термины и определения. -М.: Гостехкомиссия

России, 1992.

12. РД. Временное положение по организации разработки, изготовления и

эксплуатации программных и технических средств защиты информации от НСД в

АС и СВТ. -М.: Гостехкомиссия России, 1992.

13. Положение об обязательной сертификации продукции по требованиям

безопасности информации. -M.:Гостехкомиссия России, 1994.

14. Положение о лицензировании деятельности в области защиты информации.

-М.: Гостехкомиссия России, ФАПСИ, 1994.

15. Система сертификации ГОСТ Р.

16. Терминология в области защиты информации. Справочник:ВНИИ стандарт, 1993г..

Примечание: Перечень нормативных документов подлежит уточнению в установленном порядке.

Приложение 3. Методика определения требуемой (целесообразной) длины пароля, используемого в комплексе "Аккорд" при аутентификации.

Оценка требуемой длины пароля важна для того, чтобы правильно выбрать период смены паролей из предположения, что идентификатор пользователя может быть утрачен, а пользователь по тем или иным причинам не поставит об этом в известность администратора безопасности информации.

Пусть требуемая вероятность подбора пароля в результате трехмесячного регулярного тестирования должна быть не выше 0,001. По формуле Андерсона (см.Хоффман Л. Современные методы защиты информации /Пер.с англ./ М.:Советское радио, 1980, -264с.)

4,32 * 10**4 * k(M/P) <= A**S, где:

k - количество попыток в мин;

M - период времени тестирования в месяцах;

P - вероятность подбора пароля;

A - число символов в алфавите;

S - длина пароля.

Время на одну попытку при использовании комплекса "Аккорд" - не менее 7 сек., т.е.

k = 60/7 = 8,57

Для английского алфавита A=26 и S=7:

1,11 * 10**9 <= 8,03 * 10**9,

т.е. пароля длиной 7 символов достаточно для выполнения условия, а именно: Если будет выбран пароль длинной в 7 символов, то в течение 3-х месяцев вероятность подбора пароля будет не выше 0,001.

Если выбирается длина пароля в 6 символов (S=6), то выполняется неравенство:

3,7 * 10**8 * M <= 3,089 * 10**8,

или M <= 0,83,

т.е. при длине пароля 6 символов и регулярном тестировании в течении 25 дней

вероятность подбора пароля составит не более 0,001.