Определенные требования к защите информации на компьютере. Требования к современным системам защиты информации. К ним относятся

Определенные требования к защите информации на компьютере. Требования к современным системам защиты информации. К ним относятся

13.04.2019
ВКонтакте

В общем случае требования к защите секретной информации схожи с требованиями к защите конфиденциальной информации, однако существуют принципиальные отличия. Так как секретная информация имеет высший ранг, то требования предъявляемые к ней на порядок выше. Поэтому, из-за сходства в требованиях этих двух категорий информации, отметим, только те пункты, которые относятся непосредственно к защите секретной информации.

Подсистема управления доступом должна:

Управлять потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации;

Подсистема регистрации и учета должна:

Регистрировать выдачу печатных (графических) документов на «твердую» копию. Данное действие должно указывать фактический объем выданного документа (количество страниц, листов, копий) и результат выдачи (успешный -- весь объем, неуспешный);

Регистрировать попытки доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам. В параметрах регистрации указывается:

2) вид запрашиваемой операции (чтение, запись, удаление, выполнение, расширение и т.п.);

Регистрировать попытки доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей. В параметрах регистрации указывается:

1) имя программы (процесса, задания, задачи), осуществляющих доступ к файлам;

2) вид запрашиваемой операции (чтение, запись, монтирование, захват и т.п.);

Регистрировать изменения полномочий субъектов доступа, а также статуса объектов доступа. В параметрах регистрации указывается:

1) дата и время изменения полномочий;

2) идентификатор субъекта доступа (администратора), осуществившего изменения;

Осуществлять автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;

Проводить учет защищаемых носителей с регистрацией их выдачи (приема) в специальном журнале (картотеке);

Проводить несколько видов учета (дублирующих) защищаемых носителей информации;

Сигнализировать о попытках нарушения защиты;

Подсистема обеспечения целостности должна:

Осуществлять физическую охрану СВТ (устройств и носителей информации). При этом должно предусматриваться постоянное наличие охраны на территории здания и помещений, где находится АС. Охрана должна производиться с помощью технических средств охраны и специального персонала, а также с использованием строгого пропускного режима и специального оборудования в помещении АС;

Предусматривать наличие администратора или целой службы защиты информации, ответственных за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;

Проводить периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью специальных программных средств не реже одного раза в год;

Использовать только сертифицированные средства защиты. Их сертификацию проводят специальные сертификационные центры или специализированные предприятия, имеющие лицензию на проведение сертификации средств защиты СЗИ НСД;

Сравним две рассмотренные выше группы требований и их особенности для защиты информации различных категорий (конфиденциальной и секретной). Ясно, что ключевыми механизмами защиты, образующими основную группу механизмов защиты от НСД («Подсистема управления доступом») являются:

Идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия;

Контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа.

Дополнительным требованием и принципиальным отличием при защите секретной информации является то, что механизмом защиты должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой на него информации.

Все три перечисленных механизма являются основополагающими. Связаны они следующим образом: все права доступа к ресурсам (разграничительная политика доступа к ресурсам) задаются для конкретного субъекта доступа (пользователя). Поэтому субъект доступа (пользователь) должен быть идентифицирован при входе в систему, соответственно, должна быть проконтролирована его подлинность. Обычно это делается путем использования секретного слова -- пароля.

Основу правового обеспечения информационной безопасности России помимо нормативно-правовых актов составляют концептуальные документы. Они принимаются на уровне Президента РФ, Правительства РФ и других органов государственной власти. В частности, такими документами являются Доктрина информационной безопасности РФ и Стратегия национальной безопасности РФ до 2020 года.

Концепция (от лат. conceptio) - генеральный замысел, определяющий стратегию действий. Концепция защиты информации - это система взглядов на сущность, цели, принципы и организацию защиты информации.

Концепция защиты информации предполагает:

  1. Определение понятия, сущности и целей защиты информации.
  2. Какую информацию необходимо защищать, каковы критерии отнесения ее к защищаемой.
  3. Дифференциацию защищаемой информации: а) по степеням конфиденциальности, б) по собственникам и владельцам.
  4. Определение состава и классификации носителей защищаемой информации.
  5. Определение источников, видов и способов дестабилизирующего воздействия на информацию, причин, обстоятельств и условий воздействий, каналов, методов и средств несанкционированного доступа к информации.
  6. Определение методов и средств защиты информации .
  7. Кадровое обеспечение защиты информации.

То есть концептуальные документы определяют общие отношение и политику государства в заданной области, а также служат основой для создания нормативно–правовых документов.

Стратегия национальной безопасности до 2020 года была утверждена президентом Д. Медведевым 12 мая 2009 года. Стратегия – это "официально признанная система стратегических национальных приоритетов, целей и мер в области внутренней и внешней политики, определяющих состояние национальной безопасности и уровень устойчивого развития государства на долгосрочную перспективу".

Документ содержит 6 разделов:

  1. Общие положения
  2. Современный мир и Россия: состояние и тенденции развития
  3. Национальные интересы Российской Федерации и стратегические национальные приоритеты
  4. Обеспечение национальной безопасности
  5. Организационные, нормативные правовые и информационные основы реализации настоящей Стратегии
  6. Основные характеристики состояния национальной безопасности в составе 112 отдельных пунктов

В Общих положениях дается перечень основных понятий в области национальной безопасности:

национальная безопасность - состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства;

национальные интересы Российской Федерации - совокупность внутренних и внешних потребностей государства в обеспечении защищенности и устойчивого развития личности, общества и государства;

угроза национальной безопасности - прямая или косвенная возможность нанесения ущерба конституционным правам, свободам, достойному качеству и уровню жизни граждан, суверенитету и территориальной целостности, устойчивому развитию Российской Федерации, обороне и безопасности государства;

стратегические национальные приоритеты - важнейшие направления обеспечения национальной безопасности, по которым реализуются конституционные права и свободы граждан Российской Федерации, осуществляются устойчивое социально-экономическое развитие и охрана суверенитета страны, ее независимости и территориальной целостности;

система обеспечения национальной безопасности - силы и средства обеспечения национальной безопасности;

силы обеспечения национальной безопасности - Вооруженные Силы Российской Федерации, другие войска, воинские формирования и органы, в которых федеральным законодательством предусмотрена военная и (или) правоохранительная служба, а также федеральные органы государственной власти, принимающие участие в обеспечении национальной безопасности государства на основании законодательства Российской Федерации;

средства обеспечения национальной безопасности - технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая телекоммуникационные каналы, используемые в системе обеспечения национальной безопасности для сбора, формирования, обработки, передачи или приема информации о состоянии национальной безопасности и мерах по ее укреплению.

"Концептуальные положения в области обеспечения национальной безопасности базируются на фундаментальной взаимосвязи и взаимозависимости Стратегии национальной безопасности Российской Федерации на период до 2020 года и Концепции долгосрочного социально-экономического развития Российской Федерации на период до 2020 года" . Важно подчеркнуть, что Документ ориентирован именно на национальную безопасность, то есть на безопасность интересов государства в целом. При этом задача обеспечения национальной безопасности признается комплексной задачей, для решения которой в Стратегии представлены следующие направления деятельности:

  • Повышение качества жизни российских граждан;
  • Экономический рост;
  • Наука, технология и образование;
  • Здравоохранение;
  • Культура;
  • Экология живых систем и рациональное природопользование.

В заключительной части описаны основные характеристики состояния национальной безопасности, а именно:

  1. уровень безработицы (доля от экономически активного населения);
  2. децильный коэффициент (соотношение доходов 10% наиболее и 10% наименее обеспеченного населения);
  3. уровень роста потребительских цен;
  4. уровень государственного внешнего и внутреннего долга в процентном отношении от валового внутреннего продукта;
  5. уровень обеспеченности ресурсами здравоохранения, культуры, образования и науки в процентном отношении от валового внутреннего продукта;
  6. уровень ежегодного обновления вооружения, военной и специальной техники;
  7. уровень обеспеченности военными и инженерно-техническими кадрами.

Для сравнения: в Европе децильный коэффициент находится в диапазоне 6-8, в США – 10-12, в России, по данным Российской академии наук, 14-17. Этот параметр является наиболее значимым при определении состояния национальной безопасности, и одной из основных задач на данный момент является его максимальное уменьшение.

В целом, Стратегия национальной безопасности РФ до 2020 года стала принципиально новым документом, основной целью которого является планирование развития системы национальной безопасности, в том числе цели, меры и порядок действий для ее обеспечения. Стратегия стала своего рода ответом на новую международную обстановку и отразила взгляды и планы руководства РФ в отношении внешней политики.

Если Стратегия ориентирована на вопросы национальной безопасности, то основополагающим концептуальным документом в области информационной безопасности является Доктрина информационной безопасности, утвержденная 9 сентября 2000 года. Доктрина информационной безопасности РФ отображает официальные взгляды на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ. Доктрина служит основой для:

  • формирования государственной политики в области обеспечения информационной безопасности Российской Федерации;
  • подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности Российской Федерации;
  • разработки целевых программ обеспечения информационной безопасности Российской Федерации.

В Доктрине выделены четыре составляющие национальных интересов в области информационных отношений:

  • Соблюдение прав и свобод человека в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.;
  • Информационное обеспечение внутренней и внешней государственной политики страны;
  • Развитие информационных технологий в соответствии со временем;
  • Защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

Дается следующее определение информационной безопасности - состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства .

Таким образом, понятие информационной безопасности здесь является более расширенным, чем рассмотренное нами в предыдущей лекции.

В соответствии с Доктриной угрозы информационной безопасности подразделяются на следующие виды:

  • угрозы конституционным правам и свободам человека и гражданина, индивидуальному, групповому и общественному сознаниям, духовному возрождению России. Примером данного вида угроз может быть незаконное ограничение доступа к информации, намеренное дезинформирование или прослушивание телефона.
  • угрозы информационному обеспечению государственной политики России. Сюда относится нарушение работы государственных СМИ, монополизация информационного рынка России.
  • угрозы развитию российской индустрии информации. Интересным является то, что закупка органами государственной власти зарубежных средств информатизации приравнивается в Доктрине к угрозе, так как мешает отечественным производителям развиваться. Отток высококвалифицированных специалистов также относится к данному типу угроз.
  • угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России. Этот вид угроз наиболее близок к пониманию, так как именно к нему относятся угрозы "классических" атак и воздействий. Сюда относятся противоправные сбор и обработка информации, хищение, утечка по техническим каналам и несанкционированный доступ к информации. В ходе курса мы подробнее остановимся на данном виде угроз.

Совершенствование правовых механизмов регулирования общественных отношений, возникающих в информационной сфере, является приоритетным направлением государственной политики в области обеспечения информационной безопасности Российской Федерации. Правовое обеспечение информационной безопасности Российской Федерации должно базироваться, прежде всего, на соблюдении принципов законности, баланса интересов граждан, общества и государства в информационной сфере.

  • Соблюдение принципа законности требует от федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации при решении возникающих в информационной сфере конфликтов неукоснительно руководствоваться законодательными и иными нормативными правовыми актами, регулирующими отношения в этой сфере.
  • Соблюдение принципа баланса интересов граждан, общества и государства в информационной сфере предполагает законодательное закрепление приоритета этих интересов в различных областях жизнедеятельности общества, а также использование форм общественного контроля деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации. Реализация гарантий конституционных прав и свобод человека и гражданина, касающихся деятельности в информационной сфере, является важнейшей задачей государства в области информационной безопасности.
  • Разработка механизмов правового обеспечения информационной безопасности Российской Федерации включает в себя мероприятия по информатизации правовой сферы в целом.

Важно отметить, что Доктрина не является нормативно-правовым документом, то есть не обязательна к исполнению ни государством, ни его органами власти, ни гражданами, ни организациями. Доктрина разрабатывается для определенного исторического этапа развития и реализовывается в дальнейшем в виде законов, нормативных актов и практических мер, которые будут рассмотрены далее.

2.2. Законодательные и иные правовые акты в области технической защиты информации.

Нормативные правовые акты по технической защите информации – это федеральные законы, указы и распоряжения Президента РФ, Постановления правительства РФ. Нормативно-правовые акты являются основным источником права в Государстве. Юридическая сила нормативно-правовых актов является наиболее существенным признаком их классификации. Она определяет их место и значимость в общей системе государственного нормативного регулирования. Закон – это главный нормативно-правовой акт. К законам в области технической защиты информации можно отнести: лицензировании деятельности по технической защите конфиденциальной информации" от 15.08.2006

  • "О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации" от 31.08.2006

    • Организационные документы – это уставы, положения, инструкции. Уставы и инструкции издаются на уровне организации и, как правило, не имеют отношения к государственному регулированию. В контексте данной лекции ключевым документом данного типа является положение. Положение – это сводный документ, определяющий порядок образования, структуру, функции, компетенцию, обязанности и организацию работы системы органов государства. Положением может также регламентироваться деятельность должностных лиц. В области технической защиты информации основными положениями являются:

    • Положение о Федеральной службе по техническому и экспортному контролю от 16.08.2004
    • Положение о государственном лицензировании деятельности в области защиты информации от 27.04.1994
    • Положение о лицензировании деятельности по технической защите конфиденциальной информации от 15.08.2006
    • Положение о сертификации средств защиты информации от 26.06.1995
    • Положение по аттестации объектов информатизации по требованиям безопасности информации 25.11.1996 и др.

    Выделяют также группу нормативных и методических документов по технической защите информации. К этой группе относятся руководящие документы ФСТЭК России, ФСБ России и других уполномоченных органов. С актуальным перечнем документов в области технической защиты информации можно ознакомиться на сайте ФСТЭК России.

    Требования к современным системам защиты информации основаны на материалах отечественных стандартов по информационной безопасности и руководящих документов (РД) по технической защите информации Государственной технической комиссии (ГТК) России.

    Система (подсистема) защиты информации, обрабатываемой в автоматизированных системах различного уровня и назначения, должна предусматривать комплекс организационных, программных, технических и, при необходимости, криптографических средств и мер по защите информации при ее автоматизированной обработке, хранении и передаче по каналам связи.

    Основными направлениями защиты информации являются:

    • обеспечение защиты информации от хищения, утраты, утечки, уничтожения, искажения и подделки в результате несанкционированного доступа (НСД) и специальных воздействий;
    • обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

    В качестве основных мер защиты информации рекомендуются:

    • документальное оформление перечня сведений конфиденциального характера с учетом ведомственной и отраслевой специфики этих сведений;
    • реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам и документам;
    • ограничение доступа персонала и посторонних лиц в защищаемые помещения и помещения, где размещены средства информатизации и коммуникации и хранятся носители информации;
    • разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации;
    • регистрация действий пользователей автоматизированной системы (АС) и обслуживающего персонала, контроль за НСД и действиями пользователей, обслуживающего персонала и посторонних лиц;
    • учет и надежное хранение бумажных и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее их хищение, подмену и уничтожение;
    • использование специальных защитных знаков (СЗЗ), создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки;
    • необходимое резервирование технических средств и дублирование массивов и носителей информации;
    • использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации;
    • использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;
    • использование сертифицированных средств защиты информации;
    • размещение объектов защиты на максимально возможном расстоянии относительно границы контролируемой зоны (КЗ);
    • размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ;
    • развязка цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

    Приложение. Требования к современным системам защиты 399

    • электромагнитная развязка между линиями связи и другими цепями вспомогательных технических средств и систем (ВТСС), выходящими за пределы КЗ, и информационными цепями, по которым циркулирует защищаемая информация;
    • использование защищенных каналов связи и криптографических средств защиты информации (СЗИ);
    • размещение дисплеев и других средств отображения информации, исключающее несанкционированный просмотр информации;
    • организация физической защиты помещений и собственно технических средств с помощью сил охраны и технических средств, предотвращающих или существенно затрудняющих проникновение в помещения посторонних лиц, хищение документов и информационных носителей, самих средств информатизации, исключающих нахождение внутри контролируемой зоны технических средств разведки или промышленного шпионажа;
    • криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
    • предотвращение внедрения в АС программ-вирусов и программных закладок.

    В целях дифференцированного подхода к защите информации, обрабатываемой в АС различного уровня и назначения, проводится классификация АС. Классификация АС осуществляется на основании требований РД ГТК России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» .

    Конкретные требования по защите информации и мероприятия по их выполнению определяются в зависимости от установленного для АС класса защищенности. Рекомендуемые классы защищенности АС, СЗЗ, средств защиты информации по уровню контроля отсутствия недекларированных возможностей, а также показатели по классам защищенности СВТ и МЭ от НСД к информации приведены в таблице .

    Лица, допущенные к автоматизированной обработке конфиденциальной информации, несут ответственность за соблюдение установленного в учреждении (на предприятии) порядка обеспечения защиты этой информации.

    Классы защищенности от НСД к информации

    Руководящий

    документ

    Классы защищенности

    Автоматизированные

    1-я группа

    Средства

    вычислительной

    3-я группа

    Межсетевые экраны

    Специальные

    защитные знаки

    Неде клари рованные возможности

    Конкретные требования к современным системам защиты информации приведены в следующих руководящих документах Гостехкомиссии России и государственных стандартах РФ:

    • 1. Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации. РД ГТК России. М., 1992.
    • 2. Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации. РД ГТК России. М., 1992.
    • 3. Средства вычислительной техники. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации. РД ГТК России. М., 1997.
    • 4. Защита информации. Специальные защитные знаки. Классификация и общие требования. РД ГТК России. М., 1992.
    • 5. Защита от НСД к информации. Часть 1. ПО средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей. РД ГТК России. М., 1999.
    • 6. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). РД ГТК России. М., 2001.
    • 7. ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
    • 8. ГОСТ Р 51583-2000. Защита информации. Порядок создания систем в защищенном исполнении.


    Статьи по теме
    Еще статьи из этой рубрики
    Обзор Lenovo A6000 — бюджетный работяга Прошивка 061 для леново а 6000 Обзор Lenovo A6000 — бюджетный работяга Прошивка 061 для леново а 6000
    Как включить быструю зарядку или отключить на Android (инструкция) Как включить быструю зарядку или отключить на Android (инструкция)
    Какую винду лучше ставить на компьютер? Какую винду лучше ставить на компьютер?
    Сельдь под шубой по госту Сельдь под шубой по госту
    Как установить windows на GPT диск? Как установить windows на GPT диск?
    Создание страницы в Joomla на примере материала Как создать материал Создание страницы в Joomla на примере материала Как создать материал

    © 2024 beasthackerz.ru - Браузеры. Аудио. Жесткий диск. Программы. Локальная сеть. Windows