Информационная безопасность. Лекции 4-5: Стандарты и технические спецификации в ИБ
- Информационная безопасность. Лекции 4-5: Стандарты и технические спецификации в ИБ
- Механизмы безопасности
- Классы безопасности
- Информационная безопасность распределенных систем. Рекомендации X.800
- Администрирование средств безопасности
- Стандарт ISO/IEC 15408
- Функциональные требования
- Требования доверия безопасности
- Гармонизированные критерии Европейских стран
- Интерпретация
- Руководящие документы Гостехкомиссии России
Гостехкомиссия России ведет активную нормотворческую деятельность, выпуская Руководящие документы (РД), играющие роль национальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на "Общие критерии.
Список нормативных документов ФСТЭК РФ:
1. РД. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.
2. РД. Защита от несанкционированного доступа к информации. Термины и определения.
3. РД. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
4. РД. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.
5. РД. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники.
6. РД. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа. Показатели защищенности от несанкционированного доступа к информации.
7. РД. Защита информации. Специальные защитные знаки. Классификация и общие требования
8. РД. Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации. Сборник руководящих документов по защите информации от несанкционированного доступа.
9. РД. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей
10. РД. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. (Часть 1, Часть 2, Часть3).
11. РД. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности
12. РД. Безопасность информационных технологий. Руководство по регистрации профилей защиты
13. РД. Безопасность информационных технологий. Руководство по формированию семейств профилей защиты.
14. Руководство по разработке профилей защиты и заданий по безопасности.
15. Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных.
16. Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных.
17. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
18. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных(выписка).
19. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
20. ГОСТ Р 50922-96. Защита информации. Основные термины и определения.
21. ГОСТ Р 51188-98. Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство.
22. ГОСТ Р 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
23. ГОСТ Р ИСО 7498-1-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель.
24. ГОСТ Р ИСО 7498-2-99. Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации.
25. ГОСТ Р ИСО/МЭК 15408-1-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Ведение и общая модель.
26. ГОСТ Р ИСО/МЭК 15408-2-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
27. ГОСТ Р ИСО/МЭК 15408-3-2002. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
28. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.
29. ГОСТ Р ИСО/МЭК ТО 18044 «Информационная технология. Методы обеспечения безопасности. Руководство по менеджменту безопасностью информации».
30. ГОСТ Р ИСО ТО 13569 «Финансовые услуги. Рекомендации по информационной безопасности».
31. ГОСТ Р ИСО/МЭК 15408 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий» Части 1, 2, 3.
32. ГОСТ Р ИСО/МЭК 18045 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий».
33. ГОСТ Р ИСО/МЭК ТО 19791 «Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем».
34. ГОСТ Р ИСО/МЭК ТО 15446 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности».
35. ГОСТ Р ИСО/МЭК 27006 «Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности».
36. ГОСТ Р ИСО/МЭК 18028-1 «Информационная технология. Методы и средства обеспечения безопасности. Сетевая безопасность информационных технологий. Часть 1. Менеджмент сетевой безопасности».
37. ГОСТ Р ИСО/МЭК ТО 24762 «Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения».
38. ГОСТ Р ИСО/МЭК ТО 18044 «Информационная технология. Методы обеспечения безопасности. Руководство по менеджменту безопасностью информации».
Здесь рассматриваются два Руководящих документа — Классификация автоматизированных систем (АС) по уровню защищенности от несанкционированного доступа (НСД) и аналогичная Классификация межсетевых экранов (МЭ).
Согласно первому из них, устанавливается девять классов защищенности АС от НСД к информации.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите.
Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.
В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.
Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.
Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранящейся на носителях различного уровня конфиденциальности.
Группа содержит два класса — 2Б и 2А.
Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.
Сведем в таблицу требования ко всем девяти классам защищенности АС.
|
Таблица 1 Требования к защищенности автоматизированных систем |
||||||||||
|
Подсистемы и требования |
Классы |
|||||||||
|
3Б |
3А |
2Б |
2А |
1Д |
1Г |
1В |
1Б |
1А |
||
|
1. Подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: в систему; |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
|
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ; |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
|
|
к программам; |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
|
|
к томам, каталогам, файлам, записям, полям записей. |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
|
|
1.2. Управление потоками информации |
- |
- |
- |
+ |
- |
- |
+ |
+ |
+ |
|
|
2. Подсистема регистрации и учета 2.1. Регистрация и учет: входа/выхода субъектов доступа в/из системы (узла сети); |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
|
выдачи печатных (графических) выходных документов; |
- |
+ |
- |
+ |
- |
+ |
+ |
+ |
+ |
|
|
запуска/завершения программ и процессов (заданий, задач); |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
|
|
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей; |
- |
- |
- |
+ |
- |
+ |
+ |
+ |
+ |
|
|
изменения полномочий субъектов доступа; |
- |
- |
- |
- |
- |
- |
+ |
+ |
+ |
|
|
создаваемых защищаемых объектов доступа. |
- |
- |
- |
+ |
- |
- |
+ |
+ |
+ |
|
|
2.2. Учет носителей информации. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
|
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. |
- |
+ |
- |
+ |
- |
+ |
+ |
+ |
+ |
|
|
2.4. Сигнализация попыток нарушения защиты. |
- |
- |
- |
- |
- |
- |
+ |
+ |
+ |
|
|
3. Криптографическая подсистема 3.1. Шифрование конфиденциальной информации. |
- |
- |
- |
+ |
- |
- |
- |
+ |
+ |
|
|
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах. |
- |
- |
- |
- |
- |
- |
- |
- |
+ |
|
|
3.3. Использование аттестованных (сертифицированных) криптографических средств. |
- |
- |
- |
+ |
- |
- |
- |
+ |
+ |
|
|
4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
|
4.2. Физическая охрана средств вычислительной техники и носителей информации. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
|
4.3. Наличие администратора (службы защиты) информации в АС. |
- |
- |
- |
+ |
- |
- |
+ |
+ |
+ |
|
|
4.4. Периодическое тестирование СЗИ НСД. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
|
4.5. Наличие средств восстановления СЗИ НСД. |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
+ |
|
|
4.6. Использование сертифицированных средств защиты. |
- |
+ |
- |
+ |
- |
- |
+ |
+ |
+ |
"СЗИ НСД" система защиты информации от несанкционированного доступа
По существу — это минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность информации. Целостность представлена отдельной подсистемой (номер 4), но непосредственно к интересующему нас предмету имеет отношение только пункт 4.1. Доступность (точнее, восстановление) предусмотрено только для самих средств защиты.
Другой РД Гостехкомиссии России — Классификация межсетевых экранов представляется принципиально важным, поскольку в нем идет речь не о целостном продукте или системе, а об отдельном сервисе безопасности, обеспечивающем межсетевое разграничение доступа.
Основным критерием классификации МЭ служит протокольный уровень (в соответствии с эталонной семиуровневой моделью), на котором осуществляется фильтрация информации. Чем выше уровень, тем больше информации на нем доступно и, следовательно, тем более тонкую и надежную фильтрацию можно реализовать.
Значительное внимание в РД уделено собственной безопасности служб обеспечения защиты и вопросам согласованного администрирования распределенных конфигураций.
- << Назад
- Вперёд
