АвтоАвтоматизацияАрхитектураАстрономияАудитБиологияБухгалтерияВоенное делоГенетикаГеографияГеологияГосударствоДомДругоеЖурналистика и СМИИзобретательствоИностранные языкиИнформатикаИскусствоИсторияКомпьютерыКулинарияКультураЛексикологияЛитератураЛогикаМаркетингМатематикаМашиностроениеМедицинаМенеджментМеталлы и СваркаМеханикаМузыкаНаселениеОбразованиеОхрана безопасности жизниОхрана ТрудаПедагогикаПолитикаПравоПриборостроениеПрограммированиеПроизводствоПромышленностьПсихологияРадиоРегилияСвязьСоциологияСпортСтандартизацияСтроительствоТехнологииТорговляТуризмФизикаФизиологияФилософияФинансыХимияХозяйствоЦеннообразованиеЧерчениеЭкологияЭконометрикаЭкономикаЭлектроникаЮриспунденкция

Руководящие документы Гостехкомиссии России

Читайте также:
  1. H.H. Ланге (1858-1921). Один из основоположников экспериментальной психологии в России
  2. I. Формирование системы военной психологии в России.
  3. II Съезд Советов, его основные решения. Первые шаги новой государственной власти в России (октябрь 1917 - первая половина 1918 гг.)
  4. V1: Социально-политическое и экономическое развитие России в конце XV 1 страница
  5. V1: Социально-политическое и экономическое развитие России в конце XV 10 страница
  6. V1: Социально-политическое и экономическое развитие России в конце XV 11 страница
  7. V1: Социально-политическое и экономическое развитие России в конце XV 12 страница
  8. V1: Социально-политическое и экономическое развитие России в конце XV 13 страница
  9. V1: Социально-политическое и экономическое развитие России в конце XV 14 страница
  10. V1: Социально-политическое и экономическое развитие России в конце XV 2 страница
  11. V1: Социально-политическое и экономическое развитие России в конце XV 3 страница
  12. V1: Социально-политическое и экономическое развитие России в конце XV 4 страница

В 1992 году Гостехкомиссия (ГТК) при Президенте Российской федерации (РФ) опубликовала пять Руководящих документов, посвященных вопросам защиты от несанкционированного доступа к информации. Рассмотрим важнейшие их них — “Концепция защиты средств вычислительной техники от несанкционированного доступа к информации”, “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации”, “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации”.

Идейной основой этих документов является “Концепция защиты средств вычислительной техники от несанкционированного доступа к информации(НСД)”[1], содержащая систему взглядов ГТК на проблему информационной безопасности и основные принципы защиты компьютерных систем. С точки зрения разработчиков данных документов основная и едва ли не единственная задача средств безопасности — это обеспечение защиты от несанкционированного доступа к информации. Если средствам контроля и обеспечения целостности еще уделяется некоторое внимание, то поддержка работоспособности систем обработки информации (как мера защиты от угроз работоспособности) вообще не упоминается. Определенный уклон в сторону поддержания секретности объясняется тем, что эти документы были разработаны в расчете на применение в информационных системах министерства обороны и спецслужб РФ, а также недостаточно высоким уровнем информационных технологий этих систем по сравнению с современным.

Руководящие документы ГТК предлагают две группы критериев безопасности — показатели защищенности средств вычислительной техники (СВТ) от НСД и критерии защищенности автоматизированных систем (АС) обработки данных. Первая группа позволяет оценить степень защищенности (правда только относительно угроз одного типа — НСД) отдельно поставляемых потребителю компонентов ВС, а вторая рассчитана на полнофункциональные системы обработки данных.

Поскольку данные документы легко доступны и часто служили объектами комментариев и критики[6], ограничимся только кратким обзором их основных положений.

Данный руководящий документ устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Данные показатели содержат требования защищенности СВТ от НСД к информации и применяются к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ). Конкретные перечни показателей определяют классы защищенности СВТ и описываются совокупностью требований. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ).

Установлено семь классов защищенности СВТ от НСД к информации. Самый низкий класс — седьмой, самый высокий — первый.

Требования к защищенности автоматизированных систем являются составной частью критериев защищенности автоматизированных систем обработки информации от НСД. Требования сгруппированы вокруг реализующих их подсистем защиты. В отличие от остальных стандартов отсутствует раздел, содержащий требования по обеспечению работоспособности системы, зато присутствует раздел, посвященный криптографическим средствам. Другие стандарты информационной безопасности, не содержат даже упоминания о криптографии, т. к. рассматривают ее исключительно в качестве механизма защиты, реализующего требования аутентификации, контроля целостности и т. д. Исключением являются только "Единые критерии", однако и в них требования раздела криптографии касаются распределения ключей, все остальное регламентируется отдельными стандартами.

Документы ГТК устанавливают девять классов защищенности АС от НСД, каждый из которых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отличающиеся спецификой обработки информации в АС. Группа АС определяется на основании следующих признаков:

- наличие в АС информации различного уровня конфиденциальности;

- уровень полномочий пользователей АС на доступ к конфиденциальной информации;

- режим обработки данных в АС (коллективный или индивидуальный).

В пределах каждой группы соблюдается иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом N А, где N — номер группы(от 1 до 3). Следующий класс обозначается N Б и т.д.

Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — и .

Вторая группа включает АС, в которых пользователи имеют одинаковые полномочия доступа ко всей информации, обрабатываемой и/или хранимой в АС на носителях различного уровня конфиденциальности. Группа содержит два класса — и .

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. Не все пользователи имеют равные права доступа. Группа содержит пять классов — , , , и .

Разработка руководящих документов ГТК явилась следствием бурно развивающегося в России процесса внедрения информационных технологий. До начала 90-х годов необходимости в подобных документах не было, т. к. в большинстве случаев обработка и хранение конфиденциальной информации осуществлялись без применения вычислительной техники. Поэтому разработка стандартов подобного рода представляет собой абсолютно новую и незнакомую область деятельности для соответствующих институтов и учреждений, что позволяет трактовать данные документы как первую стадию формирования отечественных стандартов в области информационной безопасности.

На разработку этих документов наибольшее влияние оказала “Оранжевая книга”, однако это влияние в основном отражается в ориентированности обоих документов на системы военного применения и в использовании единой универсальной шкалы оценки степени защищенности.

К недостаткам данного стандарта относятся уже упоминавшиеся отсутствие требований к защите от угроз работоспособности, ориентация на противодействие НСД и отсутствие требований к адекватности реализации политики безопасности. Понятие “политика безопасности” трактуется исключительно как поддержание режима секретности и отсутствие НСД, что неверно. Из-за этого средства защиты ориентируются исключительно на противодействие внешним угрозам, а к структуре самой системе и ее функционированию не предъявляется никаких требований. Ранжирование требований по классам защищенности по сравнению с остальными стандартами информационной безопасности максимально упрощено и сведено до определения наличия/отсутствия заданного набора механизмов защиты, что существенно снижает гибкость требований и возможность их практического применения.

Несмотря на указанные недостатки документы ГТК заполнили правовой вакуум в области стандартов информационной безопасности в нашей стране и на определенном этапе оперативно решили актуальную проблему.


1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 | 31 | 32 | 33 | 34 | 35 | 36 | 37 | 38 | 39 | 40 | 41 | 42 | 43 | 44 | 45 | 46 |

Поиск по сайту:



Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Студалл.Орг (0.003 сек.)