Классы защиты информации
Содержание:
- Классы защищенности для средств вычислительной техники
- Классы защищенности для автоматизированных систем
Стандарт ISO 15408 описывающий критерии оценки безопасности являлся новым этапом в реализации нормативной базы оценки безопасности ИТ. На основе этого стандарта каждое государство адаптировало его под свои реалии и тенденции.
Согласно нормативному документу «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» можно выделить семь классов защищенности средств вычислительной техники (СВТ) от НСД к информации. Самый высокий класс — первый, самый низкий — седьмой. Классы делятся на 4 группы которые отличаются между собой качественным уровнем безопасности:
- Четвертая группа — характеризуется верифицированной защитой и содержит только первый класс
- Третья группа характеризуется мандатной защитой и содержит 4,3 и 2 классы
- Вторая группа характеризуется дискреционной защитой и содержит 6 и 5 классы
- Первая группа имеет только 7 класс
В зависимости от грифа секретности информации в АС системе, расположение объектов и условий реализации выбирают определенной класс защищенности. В таблице 1 показан список показателей по классам защищенности СВТ. Обозначения:
- » — «: нет требования к классу
- » + «: новые или дополнительные требования
- » = «: требования совпадают с требованиями предыдущего класса
Таблица 1
Название показателя | 6 | 5 | 4 | 3 | 2 | 1 |
---|---|---|---|---|---|---|
Дискреционный принцип контроля доступа | + | + | + | = | + | = |
Мандатный принцип контроля доступа | — | — | + | = | = | = |
Очистка памяти | — | + | + | + | = | = |
Изоляция модулей | — | — | + | = | + | = |
Маркировка документов | — | — | + | = | = | = |
Защита ввода и вывода на отчуждаемый физический носитель информации | — | — | + | = | = | = |
Сопоставление пользователя с устройством | — | — | + | = | = | = |
Идентификация и аутентификация | + | = | + | = | = | = |
Гарантии проектирования | — | + | + | + | + | + |
Регистрация | — | + | + | + | = | = |
Взаимодействие пользователя с КСЗ | — | — | — | + | = | = |
Надежное восстановление | — | — | — | + | = | = |
Целостность КСЗ | — | + | + | + | = | = |
Контроль модификации | — | — | — | — | + | = |
Контроль дистрибуции | — | — | — | — | + | = |
Гарантии архитектуры | — | — | — | — | — | + |
Тестирование | + | + | + | + | + | = |
Руководство для пользователя | + | = | = | = | = | = |
Руководство по КСЗ | + | + | = | + | + | = |
Тестовая документация | + | + | + | + | + | = |
Конструкторская (проектная) документация | + | + | + | + | + | + |
Указанные наборы требований к показателям для каждого класса являются минимально нужными. Седьмой класс присваивают к тем СВТ, к которым требования по защите информации от НСД являются ниже уровней шестого класса.
Классы защищенности для автоматизированных систем
Автоматизированные системы
Нормативной базой является документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Классификация автоматизированных систем и требования по защите информации». Дифференция подхода к определению средств и методов защиты основывается на обрабатываемой информации, составу АС, структуре АС, качественному и количественному составу пользователей и обслуживающего персонала. Главными этапами классификации АС являются:
- Создания и анализ исходных данных
- поиск основных признаков АС, нужных для классификации
- анализ выявленных признаков
- присвоение АС определенного класса защиты
К основным параметрам определения класса защищенности АС относятся:
- уровень конфиденциальности информации в АС
- уровень полномочий субъектов доступа АС к конфиденциальной информации
- режим обработки информации в АС ( коллективный или индивидуальный)
Выделяют девять классов защищенности АС от НСД к информации. Каждый класс имеет минимальный набор требования по защите. Классы можно кластеризовать на 3 группы. Каждая группа имеет свою иерархию классов.
- Третья группа — определяет работу одного пользователя допущенного ко всем данным АС, размещенной на носителях одного уровня конфиденциальности. Группа имеет два класса — 3Б и 3А
- Вторая группа — определяет работу пользователей, которые имеют одинаковые права доступа ко всем данным АС, хранимой и (или) обрабатываемой на носителях разного уровня конфиденциальности. Группа имеет два класса — 2Б и 2А
- Первая группа — определяет многопользовательские АС, где одновременно хранится и (или) обрабатываются данные разных уровней конфиденциальности и не все пользователи имеют доступ к ней. Группа имеет пять классов 0 1Д, 1Г, 1В, 1Б, 1А
Требования к АС по защите информации от НСД
Мероприятия по ЗИ от НСД нужно реализовывать вместе с мероприятиями по специальной защите средств вычислительной техники (СВТ) и систем связи от технических методов разведки и промышленного шпионажа.
Обозначения к таблицам:
- » — «: нет требования к текущему классу
- » + «: есть требования к текущему классу
Таблица 2 — Требования к АС
Подсистемы и требования | Группа 3 | Группа 2 | Группа 1 | ||||||
---|---|---|---|---|---|---|---|---|---|
3Б | 3А | 2Б | 2А | 1Д | 1Г | 1В | 1Б | 1А | |
1. Подсистема управления доступом | |||||||||
1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | |||||||||
в систему | + | + | + | + | + | + | + | + | + |
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ | — | — | — | + | — | + | + | + | + |
к программам | — | — | — | + | — | + | + | + | + |
к томам, каталогам, файлам, записям, полям записей | — | — | — | + | — | + | + | + | + |
Управление потоками информации | — | + | — | — | + | + | + | ||
2. Подсистема регистрации и учета | |||||||||
2.1. Регистрация и учет: | |||||||||
входа (выхода) субъектов доступа в (из) систему(ы) (узел сети) | + | + | + | + | + | + | + | + | + |
выдачи печатных (графических) выходных документов | — | + | — | + | — | + | + | + | + |
запуска (завершения) программ и процессов (заданий, задач) | — | — | — | + | — | + | + | + | + |
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи | — | — | — | + | — | + | + | + | + |
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей | — | — | — | + | — | + | + | + | + |
изменения полномочий субъектов доступа | — | — | — | — | — | — | + | + | + |
создаваемых защищаемых объектов доступа | — | — | — | + | — | — | + | + | + |
2.2. Учет носителей информации | + | + | + | + | + | + | + | + | + |
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | — | + | — | + | — | + | + | + | + |
2.4. Сигнализация попыток нарушения защиты | — | — | — | — | — | — | + | + | + |
3. Криптографическая подсистема | |||||||||
3.1. Шифрование конфиденциальной информации | — | — | — | + | — | — | — | + | + |
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | — | — | — | — | — | — | — | — | + |
3.3. Использование аттестованных (сертифицированных) криптографических средств | — | — | — | + | — | — | — | + | + |
4. Подсистема обеспечения целостности | |||||||||
4.1. Обеспечение целостности программных средств и обрабатываемой информации | + | + | + | + | + | + | + | + | + |
4.2. Физическая охрана средств вычислительной техники и носителей информации | + | + | + | + | + | + | + | + | + |
4.3. Наличие администратора (службы) защиты информации в АС | — | — | — | + | — | — | + | + | + |
4.4. Периодическое тестирование СЗИ НСД | + | + | + | + | + | + | + | + | + |
4.5. Наличие средств восстановления СЗИ НСД | + | + | + | + | + | + | + | + | + |
4.6. Использование сертифицированных средств защиты | — | + | — | + | — | — | + | + | + |