p align="left">· обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации; · осуществление международного сотрудничества в сфере обеспечения информационной безопасности, представление интересов Российской Федерации в соответствующих международных организациях. Компетенция федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяется федеральными законами, нормативными правовыми актами Президента Российской Федерации и Правительства Российской Федерации. Функции органов, координирующих деятельность федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, других государственных органов, входящих в состав системы обеспечения информационной безопасности Российской Федерации и ее подсистем, определяются отдельными нормативными правовыми актами Российской Федерации. Информационная безопасность Российской Федерации затрагивает все сферы общественной жизни. 1.4. Стандарты безопасности Гостехкомиссии. Стандарты Европы и СШАРД Гостехкомиссии России составляют основу нормативной базы в области защиты от НСД к информации в нашей стране. Наиболее значимые из них, определяющие критерии для оценки защищенности АС (СВТ), рассматриваются ниже.Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, выражены в РД Гостехкомиссии РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации".РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации"РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. (Основным "источником вдохновения" при разработке этого документа послужила знаменитая американская "Оранжевая книга"). Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий - первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:Первая группа содержит только один седьмой класс, к которому относят все СВТ, не удовлетворяющие требованиям более высоких классов;Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;Четвертая группа характеризуется верифицированной защитой содержит только первый класс.РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации"РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:· наличие в АС информации различного уровня конфиденциальности;· уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;· режим обработки данных в АС - коллективный или индивидуальный.Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации"При анализе системы защиты внешнего периметра корпоративной сети в качестве основных критериев целесообразно использовать РД "СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:· Управление доступом;· Идентификация и аутентификация;· Регистрация событий и оповещение;· Контроль целостности;· Восстановление работоспособности.На основании показателей защищенности определяются следующие пять классов защищенности МЭ:· Простейшие фильтрующие маршрутизаторы - 5 класс;· Пакетные фильтры сетевого уровня - 4 класс;· Простейшие МЭ прикладного уровня - 3 класс;· МЭ базового уровня - 2 класс;· Продвинутые МЭ - 1 класс.МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т.п.Также к стандартам России в области информационной безопасности относятся:· Гост 28147-89 - блочный шифр с 256-битным ключом; · Гост Р 34.11-94 -функция хэширования;· Гост Р 34.10-94 -алгоритм цифровой подписи.Существует много защит информационной безопасности.Европейские стандарты безопасности ISO 15408: Common Criteria for Information Technology Security Evaluation Наиболее полно критерии для оценки механизмов безопасности программно-технического уровня представлены в международном стандарте ISO 15408: Common Criteria for Information Technology Security Evaluation (Общие критерии оценки безопасности информационных технологий), принятом в 1999 году. Общие критерии оценки безопасности информационных технологий (далее "Общие критерии") определяют функциональные требования безопасности (security functional requirements) и требования к адекватности реализации функций безопасности (security assurance requirements). Хотя применимость "Общих критериев" ограничивается механизмами безопасности программно-технического уровня, в них содержится определенный набор требований к механизмам безопасности организационного уровня и требований по физической защите, которые непосредственно связаны с описываемыми функциями безопасности. Первая часть "Общих критериев" содержит определение общих понятий, концепции, описание модели и методики проведения оценки безопасности ИТ. В ней вводится понятийный аппарат, и определяются принципы формализации предметной области. Требования к функциональности средств защиты приводятся во второй части "Общих критериев" и могут быть непосредственно использованы при анализе защищенности для оценки полноты реализованных в АС (СВТ) функций безопасности. Третья часть "Общих критериев" содержит классы требований гарантированности оценки, включая класс требований по анализу уязвимостей средств и механизмов защиты под названием AVA: Vulnerability Assessment. Данный класс требований определяет методы, которые должны использоваться для предупреждения, выявления и ликвидации следующих типов уязвимостей: · Наличие побочных каналов утечки информации; · Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние; · Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности; · Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты. ISO 17799: Code of Practice for Information Security Management Наиболее полно критерии для оценки механизмов безопасности организационного уровня представлены в международном стандарте ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принятом в 2000 году. ISO 17799 является ни чем иным, как международной версией британского стандарта BS 7799. ISO 17799 содержит практические правила по управлению информационной безопасностью и может использоваться в качестве критериев для оценки механизмов безопасности организационного уровня, включая административные, процедурные и физические меры защиты. Практические правила разбиты на следующие 10 разделов: · Политика безопасности; · Организация защиты; · Классификация ресурсов и их контроль; · Безопасность персонала; · Физическая безопасность; · Администрирование компьютерных систем и вычислительных сетей; · Управление доступом; · Разработка и сопровождение информационных систем; · Планирование бесперебойной работы организации; · Контроль выполнения требований политики безопасности. В этих разделах содержится описание механизмов безопасности организационного уровня, реализуемых в настоящее время в правительственных и коммерческих организациях во многих странах мира. Десять средств контроля, предлагаемых в ISO 17799 (они обозначены как ключевые), считаются особенно важными. Под средствами контроля в данном контексте понимаются механизмы управления информационной безопасностью организации. Ключевыми являются следующие средства контроля: · Документ о политике информационной безопасности; · Распределение обязанностей по обеспечению информационной безопасности; · Обучение и подготовка персонала к поддержанию режима информационной безопасности; · Уведомление о случаях нарушения защиты; · Средства защиты от вирусов; · Планирование бесперебойной работы организации; · Контроль над копированием программного обеспечения, защищенного законом об авторском праве; · Защита документации организации; · Защита данных; · Контроль соответствия политике безопасности. Процедура аудита безопасности АС включает в себя проверку наличия перечисленных ключевых средств контроля, оценку полноты и правильности их реализации, а также анализ их адекватности рискам, существующим в данной среде функционирования. Составной частью работ по аудиту безопасности АС также является анализ и управление рисками. Стандарты безопасности США "Оранжевая книга " "Department of Defense Trusted Computer System Evaluation Criteria" OK принята стандартом в 1985 г. Министерством обороны США (DOD). Полное название документа "Department of Defense Trusted Computer System Evaluation Criteria". OK предназначается для следующих целей: · Предоставить производителям стандарт, устанавливающий, какими средствами безопасности следует оснащать свои новые и планируемые продукты, чтобы поставлять на рынок доступные системы, удовлетворяющие требованиям гарантированной защищенности (имея в виду, прежде всего, защиту от раскрытия данных) для использования при обработке ценной информации; · Предоставить DOD метрику для военной приемки и оценки защищенности ЭСОД, предназначенных для обработки служебной и другой ценной информации; · Обеспечить базу для исследования требований к выбору защищенных систем. Рассматривают два типа оценки: · без учета среды, в которой работает техника; · в конкретной среде (эта процедура называется аттестованием). Во всех документах DOD, связанных с ОК, принято одно понимание фразы обеспечение безопасности информации. Это понимание принимается как аксиома и формулируется следующим образом: безопасность = контроль за доступом. Классы систем, распознаваемые при помощи критериев оценки гарантированно защищенных вычислительных систем, определяются следующим образом. Они представлены в порядке нарастания требований с точки зрения обеспечения безопасности ЭВМ. 1. Класс (D): Минимальная защита 2. Класс (C1): Защита, основанная на разграничении доступа (DAC) 3. Класс (С2): Защита, основанная на управляемом контроле доступом 4. Класс(B1): Мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ 5. Класс (B2): Структурированная защита 6. Класс (ВЗ): Домены безопасности 7. Класс (A1): Верифицированный проект FIPS 140-2 "Требования безопасности для криптографических модулей" В федеральном стандарте США FIPS 140-2 "Требования безопасности для криптографических модулей" под криптографическим модулем понимается набор аппаратных и/или программных (в том числе встроенных) компонентов, реализующих утвержденные функции безопасности (включая криптографические алгоритмы, генерацию и распределение криптографических ключей, аутентификацию) и заключенных в пределах явно определенного, непрерывного периметра.
Страницы: 1, 2, 3, 4, 5, 6
|