Будет интересно

Свт что такое в защите информации

Межсетевые экраны Защита от несанкционированного доступа к информации Показатели защищенности от несанкционированного доступа к информации Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г в соответствии с п.1.6. для 2Б, 3Б применяется МЭ не ниже 5 класса Контроль НДВ 1 2 3 4 Руководящий документ Защита от несанкционированного доступа к информации Часть 1. Программное обеспечение средств защиты информации Классификация по уровню контроля отсутствия недекларированных возможностей Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114 Профили защиты 1 2 3 4 и т.д. Руководящий документ Безопасность информационных технологий.


При этом защита информации обеспечивается за счет принятия различных мер, включая технические.

Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств.

Для современных информационных систем характерно использование различных аппаратно-программных платформ, территориальная распределенность компонентов, а также взаимодействие с открытыми сетями передачи данных.

Как защитить информацию в таких условиях? Соответствующие требования предъявляют уполномоченные органы, в частности, ФСТЭК и ФСБ России. В рамках статьи постараемся отразить основные подходы к классификации СЗИ с учетом требований указанных регуляторов.

Свт что такое в защите информации

Гарантии правильности функционирования оцениваются по способам проектирования и реализации СРД и обеспечивающих ее средств (формальная и неформальная верификация) и по составу и качеству препятствующих обходу СРД средств (поддержание целостности СРД и обеспечивающих средств, восстановление после сбоев, отказов и попыток НСД, контроль дистрибуций, возможность тестирования на этапе эксплуатации).

7.5. Оцениваемая АС или СВТ должна быть тщательно документирована. В состав документации включаются руководство пользователя по использованию защитных механизмов и руководство по управлению средствами защиты.

Для АС и СВТ, претендующих на высокий уровень защищенности, оценка осуществляется при наличии проектной документации (эскизный, технический и рабочий проекты), а также описаний процедур тестирования и их результатов.

8.1.

Свт что такое в защите информации это

Они позволяют пользователям и ресурсам назначать т. н. классификационные уровни, например — категории секретности обрабатываемой информации. Так, создается иерархическая структура, в которой пользователь может получить доступ к ресурсу в том случае, если его уровень в созданной иерархии не ниже уровня иерархии требуемого ресурса. В случае неиерархической структуры в классификационный уровень пользователя включают те классификационные уровни ресурсов, доступ к которым этому пользователю должен быть обеспечен.

При этом в этих средствах вычислительной техники присутствует механизм дискреционного управления доступом: дискреционные правила служат дополнением мандатных.

А в состав четвертой группы входил только 1 класс, характеризующийся наличием верифицированной защиты.

Свт что такое в защите информации от технических разведок

Группа имеет пять классов 0 1Д, 1Г, 1В, 1Б, 1А

Требования к АС по защите информации от НСД

Мероприятия по ЗИ от НСД нужно реализовывать вместе с мероприятиями по специальной защите средств вычислительной техники (СВТ) и систем связи от технических методов разведки и промышленного шпионажа.

Обозначения к таблицам:

  • » — «: нет требования к текущему классу
  • » + «: есть требования к текущему классу

Таблица 2 — Требования к АС

Подсистемы и требования Группа 3 Группа 2 Группа 1 3Б 3А 2Б 2А 1Д 1Г 1В 1Б 1А 1. Подсистема управления доступом 1.1.
Управление потоками информации — + — — + + + 2. Подсистема регистрации и учета 2.1. Регистрация и учет: входа (выхода) субъектов доступа в (из) систему(ы) (узел сети) + + + + + + + + + выдачи печатных (графических) выходных документов — + — + — + + + + запуска (завершения) программ и процессов (заданий, задач) — — — + — + + + + доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи — — — + — + + + + доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей — — — + — + + + + изменения полномочий субъектов доступа — — — — — — + + + создаваемых защищаемых объектов доступа — — — + — — + + + 2.2. Учет носителей информации + + + + + + + + + 2.3.

Важноimportant
Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность технических характеристик оцениваемого объекта, включая технические решения и практическую реализацию средств защиты.

3.7. Защита АС должна предусматривать контроль эффективности средств защиты от НСД. Этот контроль может быть либо периодическим, либо инициироваться по мере необходимости пользователем АС или контролирующими органами.

4.1.


В качестве нарушителя рассматривается субъект, имеющий доступ к работе с штатными средствами АС и СВТ как части АС.

Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей. Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

4.2.

Этот же класс рассматриваемых СЗИ достаточен в случае защиты ИСПДн, когда необходимо обеспечить 4 уровень защищенности персональных данных или 3-й — при отсутствии взаимодействия с сетями международного информационного обмена.

Для обеспечения 1 и 2 уровней защищенности персональных данных, а также 3-го — при наличии указанного сетевого взаимодействия или при актуальности угроз 2 типа потребуется установка средств контроля съемных носителей 4 класса.

Применение средств контроля носителей 4 класса достаточно для защиты информационных систем общего пользования II класса.

Шестой класс рассматриваемых СЗИ устанавливается, если они не относятся к ГИС, ИСПДн и ИС общего пользования, а также в них отсутствует обработка информации, содержащей сведения, отнесенные к государственной тайне.

Если в автоматизированных системах классов 3А, 2А происходит обработка информации с грифом «секретно», потребуется межсетевой экран не ниже 3 класса.

Межсетевые экраны 4 класса требуются в случае защиты взаимодействия автоматизированных систем класса 1Г с внешней средой.

Взаимодействие систем класса 1Д должны обеспечивать межсетевые экраны 5 класса. Также требуется использовать их не ниже указанного класса для автоматизированных систем класса 3Б и 2Б.

Классы защиты межсетевых экранов

В 2016 г. введена шестиуровневая классификация межсетевых экранов (рисунок 6).

Рисунок 6.

Каждая группа имеет свою иерархию классов.

  • Третья группа — определяет работу одного пользователя допущенного ко всем данным АС, размещенной на носителях одного уровня конфиденциальности. Группа имеет два класса — 3Б и 3А
  • Вторая группа — определяет работу пользователей, которые имеют одинаковые права доступа ко всем данным АС, хранимой и (или) обрабатываемой на носителях разного уровня конфиденциальности. Группа имеет два класса — 2Б и 2А
  • Первая группа — определяет многопользовательские АС, где одновременно хранится и (или) обрабатываются данные разных уровней конфиденциальности и не все пользователи имеют доступ к ней.

Статья может быть полезна начинающим специалистам в области информационной безопасности в качестве источника структурированной информации о способах классификации СЗИ на основании требований ФСТЭК России (в большей степени) и, кратко, ФСБ России.

Структурой, определяющей порядок и координирующей действия обеспечения некриптографическими методами ИБ, является ФСТЭК России (ранее — Государственная техническая комиссия при Президенте Российской Федерации, Гостехкомиссия).

Если читателю приходилось видеть Государственный реестр сертифицированных средств защиты информации, который формирует ФСТЭК России, то он безусловно обращал внимание на наличие в описательной части предназначения СЗИ таких фраз, как «класс РД СВТ», «уровень отсутствия НДВ» и пр. (рисунок 1).

Рисунок 1.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *