- •Фирма “ИнфоКрипт лтд”
- •Содержание
- •1. Нормативные требования по защите информации
- •1.1. Необходимость и цели защиты информации
- •1.2. Основные принципы организации защиты информации от нсд и обеспечения ее конфиденциальности
- •2. Назначение комплекса
- •2.1. Общие сведения
- •2.2. Характеристика комплекса «Аккорд-амдз»
- •Модификации комплекса сзи нсд «Аккорд-амдз»
- •Для обеспечения разграничения доступа пользователей совместно с комплексом может поставляться (по требованию Заказчика) специальное по:
- •3. Условия применения комплекса
- •4. Состав комплекса
- •4.1. Аппаратные средства:
- •4.2. Программные средства, размещенные в энп контроллера комплекса:
- •4.3. Специальное по сзи нсд2, поставляемое совместно с комплексом:
- •5. Особенности защитных функций комплекса и принцип работы
- •6. Поставка комплекса
- •7. Установка и настройка комплекса
- •8. Управление защитой информации
- •9. Правовые аспекты применения комплекса
- •Окб сапр (с) 1993, 1994, 1995, 1996, 1997, 1998. Фирма “Инфокрипт” (с) 1993, 1994, 1995, 1996, 1997, 1998.
- •Заключение
- •Желаем Вам успешной работы! Приложение 1. Формирование и поддержка изолированной программной среды
- •Приложение 2. Перечень нормативных документов, используемых при организации защиты информации с использованием комплекса "Аккорд-амдз".
- •Приложение 3. Методика определения требуемой (целесообразной) длины пароля, используемого в комплексе "Аккорд-амдз" при аутентификации.
- •Приложение 4. Алгоритм вычисления хэш-функции, применяемый в комплексах сзи нсд "Аккорд-амдз"
- •Для заметок:
Приложение 2. Перечень нормативных документов, используемых при организации защиты информации с использованием комплекса "Аккорд-амдз".
1. Закон Российской Федерации " О государственной тайне" от 21.7.93 г. № 5485-1.
2. Закон Российской Федерации "Об информации, информатизации и защите информации" от 25.1.95 г.
3. Закон Российской Федерации "О коммерческой тайне" (проект, версия 28.12.94 г.).
4. Закон Российской Федерации "О персональных данных" (проект, версия 20.02.95 г.).
5. Закон Российской Федерации "О федеральных органах правительственной связи и информации" от 19.2.93 г. № 4524-1.
6. Положение о государственной системе защиты информации в Российской Федерации от ИТР и от утечки по техническим каналам.(Постановление Правительства РФ от 15.9.93 г. № 912-51).
7. Положение о Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), распоряжение Президента Российской Федерации от 28.12.92 г. № 829-рпс.
8. РД. АС. Защита от НСД к информации. Классификация АС и требования по защите информации. -М.: Гостехкомиссия России, 1992.
9. РД. СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации. -М.: Гостехкомиссия России, 1992.
10. РД. Концепция защиты СВТ и АС от НСД к информации. -М.: Гостехкомиссия России, 1992.
11. РД. Защита от НСД к информации. Термины и определения. -М.: Гостехкомиссия России, 1992.
12. РД. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в АС и СВТ. -М.: Гостехкомиссия России, 1992..
13. Положение об обязательной сертификации продукции по требованиям безопасности информации. -M.:Гостехкомиссия России, 1994.
14. Положение о лицензировании деятельности в области защиты информации. -М.: Гостехкомиссия России, ФАПСИ, 1994.
15. Система сертификации ГОСТ Р.
16. Терминология в области защиты информации. Справочник: ВНИИ стандарт, 1993 г..
17. ГОСТ Р 50739-95 “СВТ. Защита от НСД к информации. ОТТ”.
Примечание: Перечень нормативных документов подлежит уточнению в установленном порядке.
Приложение 3. Методика определения требуемой (целесообразной) длины пароля, используемого в комплексе "Аккорд-амдз" при аутентификации.
Оценка требуемой длины пароля важна для того, чтобы правильно выбрать период смены паролей из предположения, что идентификатор пользователя может быть утрачен, а пользователь по тем или иным причинам не поставит об этом в известность администратора безопасности информации.
Пусть требуемая вероятность подбора пароля в результате трехмесячного регулярного тестирования должна быть не выше 0,001.
По формуле Андерсона (см.Хоффман Л. Современные методы защиты информации /Пер.с англ./ М.:Советское радио, 1980, -264с.)
4,32 * 10**4 * k(M/P) <= A**S, где:
k - количество попыток в мин;
M - период времени тестирования в месяцах;
Р - вероятность подбора пароля;
A - число символов в алфавите;
S - длина пароля.
Время на одну попытку при использовании комплекса "Аккорд" - не менее 7 сек., т.е.
k = 60/7 = 8,57
Для английского алфавита A = 26 и S = 7:
1,11 * 10**9 <= 8,03 * 10**9 ,
т.е. пароля длиной 7 символов достаточно для выполнения условия, а именно - если будет выбран пароль длинной в 7 символов, то в течение 3-х месяцев вероятность подбора пароля будет не выше 0,001.
Если выбирается длина пароля в 6 символов (S = 6), то выполняется неравенство:
3,7 * 10**8 * M <= 3,089 * 10**8 ,
или M <= 0,83, т.е. при длине пароля 6 символов и регулярном тестировании в течении 25 дней вероятность подбора пароля составит не более 0,001.