Комплект гост по информационной безопасности. Защита информации обеспечение информационной безопасности в организации основные термины и определения. Рассмотрим наиболее значимые из этих документов, определяющие критерии для оценки защищенности автоматизи

Не так часто бывает, что я упускаю из ввиду какую-то российскую нормативку по информационной безопасности. Но тут это произошло;-(Оправдывает только то, что упущенное носит рекомендательный характер - речь идет о ГОСТах по защите информации. Среди новых ГОСТов, с которыми я раньше не сталкивался были обнаружены:

• ГОСТ Р 53110-2008. Система обеспечения информационной безопасности сети связи общего пользования. Общие положения
• ГОСТ Р 53111-2008. Устойчивость функционирования сети связи общего пользования. Требования и методы проверки
• ГОСТ Р 53109-2008. Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности
• ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения
• ГОСТ Р 53113.1-2008. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения
• ГОСТ Р 53112-2008. Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний
• ГОСТ Р 53115-2008. Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства
• ГОСТ Р 53113.2-2009. Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов
• ГОСТ Р ИСО/МЭК ТО 19791-2008. Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем
• ГОСТ Р ИСО/МЭК 21827-2010. Информационная технология. Методы и средства обеспечения безопасности. Проектирование систем безопасности. Модель зрелости процесса
• ГОСТ Р 53131-2008. Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения.
• ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы
• ГОСТ Р 54583-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 3. Анализ методов доверия
• ГОСТ Р 54582-2011. Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности информационных технологий. Часть 2. Методы доверия.

Из планов на 2013-й год можно назвать разработку очень интересных и достойных ГОСТов (часть работ уже начата):

• "Уязвимости информационных систем. Классификация уязвимостей информационных систем",
  "Уязвимости информационных систем. Правила описания уязвимостей",
• "Уязвимости информационных систем. Содержание и порядок выполнения работ по выявлению и оценке уязвимостей информационных систем",
• "Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (взамен текущей версии ГОСТ 51583-2000),
• "Документация по технической защите информации на объекте информатизации. Общие положения",
• "Информационные системы и объекты информатизации. Угрозы безопасности информации. Общие положения",
• "Техника защиты информации. Номенклатура показателей качества" (взамен текущего ГОСТ Р 52447-2005)",
• "Основные термины и определения" (взамен текущей версии ГОСТ Р 50922-2006),
• "Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения",
• "Требования по защите информации, обрабатываемой с использованием технологий "облачных вычислений". Общие положения",
• "Требования по защите информации в информационных системах, построенных с использованием суперкомпьютерных и грид - технологий"
• ну и ряд стандартов по информационным войнам.

Планы очень амбициозные и достойные. ФСТЭК немного переориентируется - от разработки сугубо внутренних нормативных документов в сторону общегосударственной методической базы. Можно только приветствовать такой подход.

Международные стандарты

• BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part 1 - Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
• BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 - Information Security management - specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
• BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
• ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
• ISO/IEC 27000 - Словарь и определения.
• ISO/IEC 27001:2005 - «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
• ISO/IEC 27002 - Сейчас: ISO/IEC 17799:2005. «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Дата выхода - 2007 год.
• ISO/IEC 27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
• German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

Государственные (национальные) стандарты РФ

• ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
• Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
• ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
• ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
• ГОСТ Р ИСО/МЭК 15408-1-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
• ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
• ГОСТ Р ИСО/МЭК 15408-3-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
• ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
• ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
• ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
• ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.

Руководящие документы

• РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации - содержит описание показателей защищенности информационных систем и требования к классам защищенности.

См. также

• Недекларированные возможности

Внешние ссылки

• Международные стандарты управления информационной безопасностью

Wikimedia Foundation . 2010 .

ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании», а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 «Стандартизация в Российской Федерации. Основные положения»

Сведения о стандарте

1 РАЗРАБОТАН Федеральным государственным учреждением «Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю» (ФГУ «ГНИИИ ПТЗИ ФСТЭК России»), Обществом с ограниченной ответственностью «Научно-производственная фирма «Кристалл» (ООО «НПФ «Кристалл»)

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. № 532-ст

4 ВВЕДЕН ВПЕРВЫЕ

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе «Национальные стандарты», а текст изменений и поправок - в ежемесячно издаваемых информационных указателях «Национальные стандарты». В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе «Национальные стандарты». Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет

Введение

Установленные настоящим стандартом термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.

Для каждого понятия установлен один стандартизованный термин.

Наличие квадратных скобок в терминологической статье означает, что в нее входят два термина, имеющих общие терминоэлементы, В алфавитном указателе данные термины приведены отдельно.

Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации, при этом не входящая в круглые скобки часть термина образует его краткую форму. За стандартизованными терминами приведены отделенные точкой с запятой их краткие формы, представленные аббревиатурой.

Приведенные определения можно при необходимости изменять, вводя в них производные признаки, раскрывая значения используемых в них терминов, указывая объекты, входящие в объем определяемого понятия.

Изменения не должны нарушать объем и содержание понятий, определенных в настоящем стандарте.

Стандартизованные термины набраны полужирным шрифтом, их краткие формы в тексте и в алфавитном указателе, в том числе аббревиатуры, - светлым, а синонимы - курсивом.

Термины и определения общетехнических понятий, необходимые для понимания текста основной части настоящего стандарта, приведены в приложении А.

Для создания эффективной системы защиты разработан ряд стандартов. Главная задача стандартов информационной безопасности - создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Многие правительственные организации и частные компании приобретают только такие системы, которые удовлетворяют определенным наборам требований. Наиболее значимые стандарты информационной безопасности: критерии безопасности компьютерных систем Министерства обороны США, US TCSEC (US Trusted Computer Systems Evaluation Criteria , «Оранжевая книга»; европейский Стандарт European ITSEC (Information Technology Security Evaluation Criteria ).

Британский институт стандартов (BSI ) при участии коммерческих организаций: Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. разработал стандарт информационной безопасности. Стандарт был утвержден в 1998 г. и получил название «BS 7799 управление информационной безопасностью организации вне зависимости от сферы деятельности компании». Служба безопасности, информационный отдел, руководство компании должны работать согласно принятому регламенту. Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, Швеция и Нидерланды. В конце 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799 .

Группа государств, объединив свои усилия в рамках Международной организации по стандартизации (ISO) , разработала новый стандарт безопасности ISO 15408 , призванный отразить возросший уровень сложности технологий и растущую потребность в международной стандартизации. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации Информационных Технологий (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

Стандарт пришел на смену старым методикам оценки. Он получил известность как Стандарт Common Criteria for Information Technology Security Evaluation (CCITSE – общие критерии оценки безопасности информационных технологий) и был утвержден в качестве международного в 1999 году. Страны, ратифицировавшие Common Criteria , рассчитывают, что использование этого стандарта приведет к повышению надежности продуктов, в которых применяются технологии защиты данных. Он поможет потребителям информационных технологий лучше ориентироваться при выборе программного обеспечения, и будет способствовать повышению уверенности пользователей в безопасности информационных продуктов.

В соответствии с требованиями Common Criteria продукты определенного класса (например, операционные системы) оцениваются на соответствие ряду функциональных критериев и критериев надежности – «профилей защиты» (Protection Profiles ). Существуют различные определения профилей защиты в отношении операционных систем, брандмауэров, смарт-карт и прочих продуктов, которые должны соответствовать определенным требованиям в области безопасности. Например, профиль защиты систем с разграничением доступа (Controlled Access Protection Profile) действует в отношении операционных систем и должен заменить старый уровень защиты С2. Стандарт Common Criteria также устанавливает ряд гарантированных уровней соответствия Evaluation Assurance Levels (EAL) , используемых при оценке продуктов.

Сертификация на более высокий уровень EAL означает более высокую степень уверенности в том, что система защиты продукта работает правильно и эффективно. Профили защиты для уровней EAL1-EAL4 являются общими для всех стран, поддерживающих стандарт Common Criteria . Для высших уровней EAL5-EAL7 профили защиты индивидуально разрабатываются каждой страной для учета национальных особенностей защиты государственных секретов. Поэтому EAL4 является высшим уровнем, которого могут достигнуть продукты, не создававшиеся изначально с учетом соответствия требованиям EAL5-EAL7 .

Признание соответствия того или иного продукта стандарту Common Criteria происходит лишь после прохождения им весьма строгой и длительной процедуры проверки.

Данный стандарт является гарантией качества: принимая решение о приобретении информационного продукта, пользователи могут оценить его на основе результатов строгого независимого тестирования, учитывающего весь комплекс критериев. Таким образом, стандарт Common Criteria способствует повышению требований к качеству продуктов и позволяет утверждать, что продукт обладает надежной защитой. Преимущества стандарта Common Criteria :

Стандарт помогает пользователям объективно оценивать защищенность информационных продуктов;

Пользователи могут применять четкие и универсальные критерии для оценки собственных потребностей и выбора необходимого уровня защиты;

Пользователям становится проще определить, соответствует ли конкретный продукт их требованиям в области безопасности;

Пользователи могут доверять оценкам, сделанным в ходе аттестации на соответствие стандарту, поскольку оценивание производится независимой тестирующей лабораторией; государственные структуры и крупные компании все чаще ориентируются на этот стандарт при принятии решений о покупке;

Поскольку Common Criteria является международным стандартом, организации, использующие сертифицированные по этому стандарту продукты, будут удовлетворять требованиям безопасности, которые предъявляются к филиалам этой организации в каждой стране.

Стандарт Common Criteria ISO 15408 является также государственным стандартом России. С 1 января 2004 года были введены в действие следующие государственные стандарты:

ГОСТ Р ИСО/МЭК 15408-1-2002 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель;

ГОСТ Р ИСО/МЭК 15408-2-2002 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2.Функциональные требования безопасности;

ГОСТ Р ИСО/МЭК 15408-3-2002 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3.Требования доверия к безопасности.

Главные преимущества стандартов - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Принятие новых стандартов и взаимное международное признание сертификатов стандарта Common Criteria позволяют:

Пользователям сократить свои затраты на сертификацию продуктов;

Сертифицирующим органам привлечь дополнительный поток заказов на сертификацию из-за рубежа;

Производителям российских высокотехнологичных продуктов получить международные сертификаты в России;

Среди различных стандартов по безопасности информационных технологий, существующих в нашей стране, следует выделить ряд документов, регламентирующих защиту взаимосвязи открытых систем; нормативных документов по средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем; документов, ориентированных преимущественно на защиту государственной тайны (табл. 6.1.)

Таблица 6.1.

Нормативные документы, регламентирующие оценку защищенности информационных технологий

Безопасность программных продуктов начинается с качественно написанного и прошедшего всестороннее тестирование кода. Затем используются технологии поиска, исправления и ликвидации найденных уязвимых мест в системе защиты. На последнем этапе производится проверка на соответствие общепризнанным стандартам.

Пример. В октябре 2002 года корпорация Microsoft для платформы Microsoft Windows 2000 получила международный сертификат по «Общим критериям» для самого широкого среди сертифицированных операционных систем спектра реальных сценариев применения, определенных условиями стандарта Common Criteria . 12 февраля 2004 года представителями Государственной технической комиссии при Президенте Российской Федерации операционная система Microsoft Windows XP (Service Pack 1a) была сертифицирована на соответствие российским требованиям по безопасности информации.

Требования к знаниям и умениям

Студент должен иметь представление:

• о роли Гостехкомиссии в обеспечении информационной безопасности в РФ;

• о документах по оценке защищенности автоматизированных систем в РФ.

Студент должен знать:

• основное содержание стандартов по оценке защищенности автоматизированных систем в РФ.

Студент должен уметь:

• определять классы защищенных систем по совокупности мер защиты.

Ключевой термин

Ключевой термин: Стандарты информационной безопасности в РФ.

Стандарты информационной безопасности в РФ разрабатываются в рамках Гостехкомиссии РФ.

Второстепенные термины

• Гостехкомиссия и ее роль в обеспечении информационной безопасности в РФ.

• Документы по оценке защищенности автоматизированных систем в РФ.

Структурная схема терминов

1.7.1 Гостехкомиссия и ее роль в обеспечении информационной безопасности в РФ

В Российской Федерации информационная безопасность обеспечивается соблюдение указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов.

Наиболее общие документы были рассмотрены ранее при изучении правовых основ информационной безопасности. В РФ с точки зрения стандартизации положений в сфере информационной безопасности первостепенное значение имеют руководящие документы (РД) Гостехкомиссии России, одной из задач которой является «проведение единой государственной политики в области технической защиты информации».

Гостехкомиссия России ведет весьма активную нормотворческую деятельность, выпуская руководящие документы, играющие роль национальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на «Общие критерии».

За 10 лет своего существования Гостехкомиссия разработала и довела до уровня национальных стандартов десятки документов, среди которых:

• Руководящий документ «Положение по аттестации объектов информатизации по требованиям безопасности информации» (Утверждено Председателем Гостехкомиссии России 25.11.1994 г.);

• Руководящий документ «Автоматизированные системы (АС). Защита от несанкционированного доступа (НСД) к информации. Классификация АС и требования к защите информации» (Гостехкомиссия России, 1997);

• Руководящий документ «Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1992 г.);

• Руководящий документ «Концепция защиты средств вычислительной техники от НСД к информации» (Гостехкомиссия России, 1992 г.);

• Руководящий документ «Защита от НСД к информации. Термины и определения» (Гостехкомиссия России, 1992 г.);

• Руководящий документ «Средства вычислительной техники (СВТ). Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997 г.);

• Руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.);

• Руководящий документ «Специальные требования и рекомендации по технической защите конфиденциальной информации» (Гостехкомиссия России, 2001г.).

1.7.2 Документы по оценке защищенности автоматизированных систем в РФ

Рассмотрим наиболее значимые из этих документов, определяющие критерии для оценки защищенности автоматизированных систем.

Устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Основой для разработки этого документа явилась «Оранжевая книга». Этот оценочный стандарт устанавливается семь классов защищенности СВТ от НСД к информации.

Самый низкий класс — седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

• Первая группа содержит только один седьмой класс, к которому относят все СВТ, неудовлетворяющие требованиям более высоких классов;

• Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

• Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

• Четвертая группа характеризуется верифицированной защитой и включает только первый класс.

устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.

К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

В документе определены девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

В таблице 2 приведены классы защищенности АС и требования для их обеспечения.

Таблица 1. Требования к защищенности автоматизированных систем

«-» нет требований к данному классу;

«+» есть требования к данному классу;

По существу в таблице 2 систематизированы минимальные требования, которым необходимо следовать, чтобы обеспечить конфиденциальность информации .

Требования по обеспечению целостность представлены отдельной подсистемой (номер 4).

Руководящий документ «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» является основным документом для анализа системы защиты внешнего периметра корпоративной сети. Данный документ определяет показатели защищенности межсетевых экранов (МЭ). Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ.

Всего выделяется пять показателей защищенности:

• управление доступом;

• контроль целостности;

На основании показателей защищенности определяются следующие пять классов защищенности МЭ:

• простейшие фильтрующие маршрутизаторы – 5 класс ;

• пакетные фильтры сетевого уровня – 4 класс ;

• простейшие МЭ прикладного уровня – 3 класс ;

• МЭ базового уровня – 2 класс ;

• продвинутые МЭ – 1 класс .

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию «Особой важности». Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки «совершенно секретной» информации и т.п.

Согласно первому из них, устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса – 3Б и 3А.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранящейся на носителях различного уровня конфиденциальности. Группа содержит два класса – 2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов – 1Д, 1Г, 1В, 1Б и 1А.

Выводы по теме

1. В Российской Федерации информационная безопасность обеспечивается соблюдением Указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов.

2. Стандартами в сфере информационной безопасности в РФ являются руководящие документы Гостехкомиссии России, одной из задач которой является «проведение единой государственной политики в области технической защиты информации».

3. При разработке национальных стандартов Гостехкомиссия России ориентируется на «Общие критерии».

Руководящий документ «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации» устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Этот оценочный стандарт устанавливает семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты.

Руководящий документ «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

• наличие в АС информации различного уровня конфиденциальности;

• уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

• режим обработки данных в АС – коллективный или индивидуальный.

Руководящий документ «СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» является основным документом для анализа системы защиты внешнего периметра корпоративной сети. Данный документ определяет показатели защищенности межсетевых экранов. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

• управление доступом;

• идентификация и аутентификация;

• регистрация событий и оповещение;

• контроль целостности;

• восстановление работоспособности.

Контрольные вопросы:

1. Сколько классов защищенности СВТ от НСД к информации устанавливает РД «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации»?