"Человек - самое уязвимое место в системе безопасности.."

Классы защиты информации

Содержание:

Стандарт ISO 15408 описывающий критерии оценки безопасности являлся новым этапом в реализации нормативной базы оценки безопасности ИТ. На основе этого стандарта каждое государство адаптировало его под свои реалии и тенденции.

Классы защищенности для средств вычислительной техники

Классы защиты информации

Согласно нормативному документу «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» можно выделить семь классов защищенности средств вычислительной техники (СВТ) от НСД к информации. Самый высокий класс — первый, самый низкий — седьмой. Классы делятся на 4 группы которые отличаются между собой качественным уровнем безопасности:

  • Четвертая группа — характеризуется верифицированной защитой и содержит только первый класс
  • Третья группа характеризуется мандатной защитой и содержит 4,3 и 2 классы
  • Вторая группа характеризуется дискреционной защитой и содержит 6 и 5 классы
  • Первая группа имеет только 7 класс

В зависимости от грифа секретности информации в АС системе, расположение объектов и условий реализации выбирают определенной класс защищенности. В таблице 1 показан список показателей по классам защищенности СВТ. Обозначения:

  • » — «: нет требования к классу
  • » + «: новые или дополнительные требования
  • » = «: требования совпадают с требованиями предыдущего класса

Таблица 1

Название показателя 6 5 4 3 2 1
Дискреционный принцип контроля доступа + + + = + =
Мандатный принцип контроля доступа + = = =
Очистка памяти + + + = =
Изоляция модулей + = + =
Маркировка документов + = = =
Защита ввода и вывода на отчуждаемый физический носитель информации + = = =
Сопоставление пользователя с устройством + = = =
Идентификация и аутентификация + = + = = =
Гарантии проектирования + + + + +
Регистрация + + + = =
Взаимодействие пользователя с КСЗ + = =
Надежное восстановление + = =
Целостность КСЗ + + + = =
Контроль модификации + =
Контроль дистрибуции + =
Гарантии архитектуры +
Тестирование + + + + + =
Руководство для пользователя + = = = = =
Руководство по КСЗ + + = + + =
Тестовая документация + + + + + =
Конструкторская (проектная) документация + + + + + +

Указанные наборы требований к показателям для каждого класса являются минимально нужными. Седьмой класс присваивают к тем СВТ, к которым требования по защите информации от НСД являются ниже уровней шестого класса.

Классы защищенности для автоматизированных систем

Автоматизированные системы

Нормативной базой является документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Классификация автоматизированных систем и требования по защите информации». Дифференция подхода к определению средств и методов защиты основывается на обрабатываемой информации, составу АС, структуре АС, качественному и количественному составу пользователей и обслуживающего персонала. Главными этапами классификации АС являются:

  • Создания и анализ исходных данных
  • поиск основных признаков АС, нужных для классификации
  • анализ выявленных признаков
  • присвоение АС определенного класса защиты

К основным параметрам определения класса защищенности АС относятся:

  • уровень конфиденциальности информации в АС
  • уровень полномочий субъектов доступа АС к конфиденциальной информации
  • режим обработки информации в АС ( коллективный или индивидуальный)

Выделяют девять классов защищенности АС от НСД к информации. Каждый класс имеет минимальный набор требования по защите. Классы можно кластеризовать на 3 группы. Каждая группа имеет свою иерархию классов.

  • Третья группа — определяет работу одного пользователя допущенного ко всем данным АС, размещенной на носителях одного уровня конфиденциальности. Группа имеет два класса — 3Б и 3А
  • Вторая группа — определяет работу пользователей, которые имеют одинаковые права доступа ко всем данным АС, хранимой и (или) обрабатываемой на носителях разного уровня конфиденциальности. Группа имеет два класса — 2Б и 2А
  • Первая группа — определяет многопользовательские АС, где одновременно хранится и (или) обрабатываются данные разных уровней конфиденциальности и не все пользователи имеют доступ к ней. Группа имеет пять классов 0 1Д, 1Г, 1В, 1Б, 1А

Требования к АС по защите информации от НСД

Мероприятия по ЗИ от НСД нужно реализовывать вместе с мероприятиями по специальной защите средств вычислительной техники (СВТ) и систем связи от технических методов разведки и промышленного шпионажа.

Обозначения к таблицам:

  • » — «: нет требования к текущему классу
  • » + «: есть требования к текущему классу

Таблица 2 — Требования к АС

Подсистемы и требования Группа 3 Группа 2 Группа 1
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему + + + + + + + + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ + + + + +
к программам + + + + +
к томам, каталогам, файлам, записям, полям записей + + + + +
Управление потоками информации + + + +
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему(ы) (узел сети) + + + + + + + + +
выдачи печатных (графических) выходных документов + + + + + +
запуска (завершения) программ и процессов (заданий, задач) + + + + +
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи + + + + +
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей + + + + +
изменения полномочий субъектов доступа + + +
создаваемых защищаемых объектов доступа + + + +
2.2. Учет носителей информации + + + + + + + + +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей + + + + + +
2.4. Сигнализация попыток нарушения защиты + + +
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации + + +
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах +
3.3. Использование аттестованных (сертифицированных) криптографических средств + + +
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации + + + + + + + + +
4.2. Физическая охрана средств вычислительной техники и носителей информации + + + + + + + + +
4.3. Наличие администратора (службы) защиты информации в АС + + + +
4.4. Периодическое тестирование СЗИ НСД + + + + + + + + +
4.5. Наличие средств восстановления СЗИ НСД + + + + + + + + +
4.6. Использование сертифицированных средств защиты + + + + +