Документ по безопасности для вычислительных сетей

Требования к безопасности компьютерных сетей в РФ

Руководящие документы, относящиеся к области защиты информации для компь­ютерных сетей, разработаны Государственной технической комиссией при Президен­те Российской Федерации. Требования всех этих документов обязательны для испол­нения только в государственном секторе, либо коммерческими организациями, которые обрабатывают информацию, содержащую государственную тайну. Для остальных ком­мерческих структур документы носят рекомендательный характер.

Рассмотрим содержание одного из документов, отражающих требования по защите информации от несанкционированного доступа. Полное название документа — «Авто­матизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

В этом документе приведена классификация автоматизированных систем на клас­сы по условиям их функционирования с точки зрения защиты информации в целях разработки и применения обоснованных мер по достижению требуемого уровня безо­пасности.

Устанавливается девять классов защищенности (табл. 3.1), каждый из которых ха­рактеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации. В пределах каждой группы соблю­дается иерархия требований по защите в зависи­мости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности. Рассмотрим показатели каждой из групп, начиная с последней.

Третья группа включает системы, в которых работает один пользователь, допущенный ко всей информации, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — ЗБ и ЗА.

Таблица 3.1. Классы защищенности компьютерных сетей

Требования Классы
ЗБ ЗА
К подсистеме управления доступом
Идентификация, проверка подлинности и контроль доступа субъектов:
— к системе X X X X X X X X X
— к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ X X X X X
— к программам X X X X X
— к томам, каталогам, файлам, записям X X X X X
Управление потоками информации X X X X
К подсистеме регистрации и учета
Регистрация и учет:
— входа (выхода) субъектов в(из) системы (узла сети) X X X X X X X X X
— выдачи печатных (графических) выходных документов —— X X X X X X
— запуска (завершения) программы и процессов (заданий, задач) —— X X X X X X
— доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи X X X X X
— доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программным томам, каталогам, файлам, записям, полям записей X X X X X
— изменения полномочий субъектов доступа —— —— X X X
— создаваемых защищаемых объектов доступа —— X X X X
Учет носителей информации X X X X X X X X X
Очистка (обнуление, обезличивание) оперативной памяти и внешних накопителей X X X X X X
Сигнализация попыток нарушения защиты X X X X
К криптографической подсистеме
Шифрование конфиденциальной информации X X X
Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах X
Использование аттестованных (сертифицированных) криптографических средств X X
К подсистеме обеспечения целостности
Обеспечение целостности программных средств и обрабатываемой информации X X X X X X X X X
Физическая охрана средств вычислительной техники и носителей информации X X X X X X X X X
Наличие администратора (службы) защиты информации __ __ __ X ___ X X X
Периодическое тестирование СЗИ X X X X X X X X X
Наличие средств восстановления СЗИ X X X X X X X X X
Использование сертифицированных средств защиты ~ X X X X X
Читайте также:  Компьютерная сеть внутри одного учреждения это

Вторая группа включает системы, в которых пользователи имеют одинаковые нра­ва доступа ко всей информации, обрабатываемой и/или хранимой на носителях раз­личного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.

Первая группа включает многопользовательские системы, в которых одновремен­но обрабатывается и/или хранится информация разных уровней конфиденциальности. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.

В общем плане защитные мероприятия охватывают 4 подсистемы:

Для присвоения класса защищенности система должна иметь:

– руководство администратора по системе;

– тестовую и конструкторскую документацию.

В качестве примера рассмотрим требования к подсистеме обеспечения целостнос­ти класса 2А.

Подсистема обеспечения целостности класса 2А должна обеспечивать целостность программных средств системы защиты информации от несанкционированного досту­па, целостность обрабатываемой информации, а также неизменность программной среды. При этом:

– целесообразность проверяется при загрузке системы по наличию имен (иденти­фикаторов) компонентов системы защиты информации;

– целостность программной среды обеспечивается отсутствием в системе средств разработки и отладки программ,

– физическая охрана средств (устройств и носителей информации) предусматри­вает постоянную охрану территории и здания, где размещается система, с помо­щью технических средств и специального персонала, использование строгого пропускного режима, специальное оборудование помещений;

– должен быть администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы системы защиты ин­формации от НСД;

– необходимо периодическое тестирование функций системы защиты информа­ции от НСД при изменении программной среды и персонала системы с помо­щью тест-программ, имитирующих попытки НСД;

– должны быть в наличии средства восстановления защиты, предусматривающие ведение двух копий программных средств защиты, их периодическое обновле­ние и контроль работоспособности;

– следует использовать сертифицированные средства защиты. Тщательный анализ таких требований позволит оценить реальную безопасность любой информационной системы с отнесением ее к определенному классу защищен­ности.

Читайте также:  Рабочая станция компьютерной сети для чего

Источник

Оцените статью
Adblock
detector