Классификация ас фстэк

Поиск Лекций


Проведение классификации АС, согласно РД ФСТЭК и типа ИА обрабатываемых на предприятии

Введение

В настоящее время информация занимает ключевое место. Информация – сведения о лицах, фактах, событиях, явлениях и процессах независимо от формы их представления. Владение информацией во все времена давало преимущества той стороне, которая располагала более точной и обширной информацией, тем более если это касалось информации о соперниках или конкурентах. «Кто владеет информацией, тот владеет миром».

Проблема защиты информации существовала всегда, но в настоящее время из-за огромного скачка научно-технического прогресса она прибрела особую актуальность. Поэтому задача специалистов по защите информации заключается в овладении всем спектром приемов и методов защиты информации, способов моделирования и проектирования систем защиты информации. Одними из способов защиты информации являются инженерно-техническая защита информации и программно-аппаратная защита информации.

Инженерно-техническая защита – это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации. Многообразие целей, задач, объектов защиты и проводимых мероприятий предполагает рассмотрение некой системы классификаций.

Многообразие классификационных характеристик позволяет рассматривать средства ИТЗ по объектам воздействия, характеру мероприятий, способам реализации, масштабу охвата, классу средств злоумышленников, которым оказывается противодействие со стороны служб безопасности.

Программно-аппаратные средства защиты информации — это сервисы безопасности, встроенные в сетевые операционные системы. К сервисам безопасности относятся: идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование.

Идентификация предназначена для того, чтобы пользователь или вычислительный процесс, действующий по команде определенного пользователя, могли идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в операционную систему, действительно тот, за кого себя выдает.
Средства управления доступом позволяют специфицировать и контролировать действия, которые пользователи и вычислительные процессы могут выполнять над информацией и другими компьютерными ресурсами, то есть речь идет о логическом управлении доступом, который реализуется программными средствами.

Логическое управление доступом обеспечивает конфиденциальность и целостность объектов путем запрещения обслуживания неавторизированных пользователей. Контроль прав доступа осуществляется посредством различных компонент программной среды — ядром сетевой операционной системы, дополнительными средствами безопасности, системой управления базами данных, посредническим программным обеспечением.

Протоколированием называется процесс сбора и накопления информации о событиях, происходящих в информационной системе предприятия. Возможные события принято делить на три группы:

— внешние события, вызванные действиями других сервисов;

— внутренние события, вызванные действиями самого сервиса;

— клиентские события, вызванные действиями пользователей и администраторов.

 

 

Общая часть

Проведение классификации АС, согласно РД ФСТЭК и типа ИА обрабатываемых на предприятии

Используем для проведения классификации и выбора требований к средствам защиты информации АС РД ФСТЭК «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации»

1.5.1 Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.

1.5.2 Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.

1.5.3 Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.

1.5.4 Основными этапами классификац
ии АС являются:

— разработка и анализ исходных данных;

— выявление основных признаков АС, необходимых для классификации;

— сравнение выявленных признаков АС с классифицируемыми;

— присвоение АС соответствующего класса защиты информации от НСД.

1.5.5 Необходимыми исходными данными для проведения классификации конкретной АС являются:

— перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;

— перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;

— матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;

— режим обработки данных в АС.

1.5.6 Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.

1.5.7 К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

— наличие в АС информации различного уровня конфиденциальности;

— уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

— режим обработки данных в АС — коллективный или индивидуальный.

1.5.8 Устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

1.5.9 Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.

Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.

©2015-2018 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Нарушение авторских прав и Нарушение персональных данных

9.3.2 Обзор руководящих документов Федеральной службы по техническому и экспортному контролю (ФСТЭК России)

Метки: Классификация, Защита, Аутентификации, Номативы, Фильтр

Федеральная служба по техническому и экспортному контролю является основным государственным органом в России, курирующем вопросы защиты информации от НСД. Руководящие документы, Положения и Постановления ФСТЭК России формируют большую часть отечественной нормативной базы в области защиты информации [fstek]. Наиболее полную информацию о деятельности ФСТЭК России, включая тексты документов, можно найти на их официальном сайте по адресу: http://www.fstec.ru Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, также выражены в РД ФСТЭК РФ «АС. Защита от НСД к информации. Классификация АС и требования по защите информации.» и «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации».

РД «СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации» устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

— первая группа содержит только один седьмой класс;

— вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

— третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

— четвертая группа характеризуется верифицированной защитой содержит только первый класс.

РД «АС. Защита от НСД к информации. Классификация АС и требования по защите информации» устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов.

К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

— наличие в АС информации различного уровня конфиденциальности;

— уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

— режим обработки данных в АС — коллективный или индивидуальный. Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

При анализе системы защиты внешнего периметра корпоративной сети, в качестве основных критериев используется РД «»СВТ. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации». Данный документ определяет показатели защищенности МЭ. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

1. Управление доступом

2. Идентификация и аутентификация

3. Регистрация событий и оповещение

4. Контроль целостности

5. Восстановление работоспособности

На основании показателей защищенности определяется следующие пять классов защищенности МЭ:

1. Простейшие фильтрующие маршрутизаторы — 5 класс

2. Пакетные фильтры сетевого уровня — 4 класс

3. Простейшие МЭ прикладного уровня — 3 класс

4. МЭ базового уровня — 2 класс

5. Продвинутые МЭ — 1 класс

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию «Особой важности». Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки «совершенно секретной» информации и т. п.

В настоящее время описанные РД уже устарели и содержащаяся в них классификация АС, СВТ и МЭ не может признаваться состоятельной. Достаточно заметить, что классификация АС и СВТ, разрабатывалась без учета распределенной (сетевой) природы современных АС, а все современные коммерческие МЭ по своим возможностям существенно превосходят требования 1-го класса защищенности (за исключением требования по использованию сертифицированных криптографических алгоритмов).

Классификация средств защиты информации от ФСТЭК и ФСБ России

Развитием нормативной базы в этом направлении является разработка «Профилей защиты» для различных классов СВТ, АС и МЭ на базе «Общих критериев». В настоящее время создано уже значительное количество англоязычных профилей защиты. Значительные усилия в этом направлении предпринимаются и в России под эгидой ФСТЭК России.

Проект РД ФСТЭК России «Специальные требования и рекомендации по защите конфиденциальной информации» (СТР-К), официально еще не принятый, содержит достаточно полный набор требований и рекомендаций организационного уровня по защите речевой информации, информации, обрабатываемой средствами вычислительной техники, а также по защите информации при подключении к сетям общего пользования. В документе рассматриваются в том числе следующие вопросы:

— Защита информации на рабочих местах на базе автономных ПЭВМ;

— Защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ;

— Защита информации в локальных вычислительных сетях;

— Защита информации при межсетевом взаимодействии;

— Защита информации при работе с системами управления базами данных.

СТР-К может использоваться при проведении аудита безопасности АС для оценки полноты и правильности реализации организационных мер защиты Информации в АС. Аттестации АС и сертификация СВТ по требованиям безопасности информации, аудит и обследование безопасности, в отдельных случаях, предполагают использование помимо перечисленных, и других документов ФСТЭК России.

 

Классификация автоматизированных систем по уровню защищенности от НСД

Классификация автоматизированных систем устроена иначе. Снова обратимся к соответствующему Руководящему документу:

Устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности.

Группа содержит два класса — 2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС.

Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.

Сведем в таблицу требования ко всем девяти классам защищенности АС ( Таб. 2 ).

Таблица 2. Требования к защищенности автоматизированных систем.

Приведем подробное изложение требований к достаточно представительному классу защищенности — 1В. Мы позволяем себе многостраничное цитирование по двум причинам.

ФСТЭК_Классы

Во-первых, данные требования, несомненно, важны с практической точки зрения. Лица, отвечающие за информационную безопасность, должны сопоставлять свои действия с Руководящими указаниями, чтобы обеспечить систематичность защитных мер. Во-вторых, брошюры Гостехкомиссии при Президенте РФ являются библиографической редкостью, и ознакомиться с ними в подлиннике затруднительно.

Требования к классу защищенности 1В:

· Подсистема управления доступом:

· должна осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов;

· должна осуществляться идентификация терминалов, ЭВМ, узлов сети ЭВМ, каналов связи, внешних устройств ЭВМ по логическим именам и/или адресам;

· должна осуществляться идентификация программ, томов, каталогов, файлов, записей, полей записей по именам;

· должен осуществляться контроль доступа субъектов к защищаемым ресурсам в соответствии с матрицей доступа;

· должно осуществляться управление потоками информации с помощью меток конфиденциальности. При этом уровень конфиденциальности накопителей должен быть не ниже уровня конфиденциальности записываемой на него информации.

· Подсистема регистрации и учета:

· должна осуществляться регистрация входа/выхода субъектов доступа в систему/из системы, либо регистрация загрузки и инициализации операционной системы и ее программного останова;

· должна осуществляться регистрация выдачи печатных (графических) документов на "твердую" копию;

· должна осуществляться регистрация запуска/завершения программ и процессов (заданий, задач), предназначенных для обработки защищаемых файлов;

· должна осуществляться регистрация попыток доступа программных средств к следующим дополнительным защищаемым объектам доступа: терминалам, ЭВМ, узлам сети ЭВМ, линиям (каналам) связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;

· должна осуществляться регистрация изменений полномочий субъектов доступа и статуса объектов доступа;

· должен осуществляться автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки, используемой в подсистеме управления доступом. Маркировка должна отражать уровень конфиденциальности объекта;

· должен проводиться учет всех защищаемых носителей информации с помощью их любой маркировки;

· должна осуществляться очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Очистка осуществляется двукратной произвольной записью в любую освобождаемую область
памяти, использованную для хранения защищаемой информации;

· должна осуществляться сигнализация попыток нарушения защиты.

· Подсистема обеспечения целостности:

· должна быть обеспечена целостность программных средств СЗИ НСД, а также неизменность программной среды, при этом:

· целостность СЗИ НСД проверяется при загрузке системы по контрольным суммам компонент СЗИ, целостность программной среды обеспечивается использованием трансляторов с языков высокого уровня и отсутствием средств модификации объектного кода программ при обработке и (или) хранении защищаемой информации;

· должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая постоянное наличие охраны территории и здания, где размещается АС, с помощью технических средств охраны и специального персонала, использование строгого пропускного режима, специальное оборудование помещений АС;

· должен быть предусмотрен администратор (служба) защиты информации, ответственный за ведение, нормальное функционирование и контроль работы СЗИ НСД. Администратор должен иметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС;

· должно проводиться периодическое тестирование всех функций СЗИ НСД с помощью специальных программных средств не реже одного раза в год;

· должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности;

· должны использоваться сертифицированные средства защиты.

По существу перед нами — минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность защищаемой информации.

Предыдущая567891011121314151617181920Следующая


Дата добавления: 2016-03-22; просмотров: 1991;


ПОСМОТРЕТЬ ЕЩЕ:

Требования к классу защищенности 2Б

Предыдущая12345678910111213141516Следующая

Подсистемы и требования Класс
1. Подсистема управления доступом  
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:  
в систему +
2. Подсистема регистрации и учета  
2.1. Регистрация и учет:  
входа (выхода) субъектов доступа в (из) систему (узел сети) +
2.2. Учет носителей информации +
3. Подсистема обеспечения целостности  
4.1. Обеспечение целостности программных средств и обрабатываемой информации +
4.2. Физическая охрана средств вычислительной техники и носителей информации +
4.3. Периодическое тестирование СЗИ НСД +
4.4. Наличие средств восстановления СЗИ НСД +

Подсистема управления доступом:

должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

На АРМ фирмы в локальной политике безопасности установлена минимальная длина пароля не менее шести буквенно-цифровых символов, а так же включена политика к требованиям сложности пароля т.е. пароли должны удовлетворять следующим минимальным требованиям:

· Не содержать имени учетной записи пользователя или частей полного имени пользователя длиной более двух рядом стоящих знаков

· Иметь длину не менее 6 знаков

· Содержать знаки трех из четырех перечисленных ниже категорий:

· Латинские заглавные буквы (от A до Z)

· Латинские строчные буквы (от a до z)

· Цифры (от 0 до 9)

Отличающиеся от букв и цифр знаки (например, !, $, #, %)

 

Подсистема регистрации и учета:

должна осуществляться регистрация входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее программного останова. Регистрация выхода из системы или останова не проводится в моменты аппаратурного отключения АС.

В параметрах регистрации указываются:
— дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;
— результат попытки входа: успешная или неуспешная (при НСД);
— должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку).

На АРМ осуществляется регистрация входа (выхода) субъектов доступа в систему (из системы),ведется аудит результатов попытки входа: успешная или неуспешная.

Так же в параметрах регистрации указано: дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки.

 

 

Подсистема обеспечения целостности:

должна быть обеспечена целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.

При этом:
— целостность СЗИ НСД проверяется при загрузке системы по наличию имен (идентификаторов) компонент СЗИ;
— целостность программной среды обеспечивается отсутствием в АС средств разработки и отладки программ во время обработки и (или) хранения защищаемой информации;
— должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения АС и хранилище носителей информации, особенно в нерабочее время;
— должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала АС с помощью тест — программ, имитирующих попытки НСД;
— должны быть в наличии средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности.

 

На фирме осуществлена физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения АС посторонних лиц.

Ведется журнал посещений, на окнах установлены решетки. Вход людей осуществляется через металлическую дверь с видеодомофоном, а затем следует контрольно-пропускной пункт за который несет ответственность служба охраны — часть службы информационной безопасности, отвечающая за организацию и ведение пропускного режима на предприятии и охранной деятельности.

В наличии есть средства восстановления СЗИ НСД, предусматривающие ведение двух копий программных средств СЗИ НСД и их периодическое обновление и контроль работоспособности. Ведется создание резервных копий ценной информации.

В локальной политике безопасности настроен аудит целостности системы, изменения состояния безопасности, её расширения и аудит других системных событий.

 

В программе SecretNet 6 настроен механизм замкнутой программной среды и контроля целостности.

 

 

 

 

Замкнутая программная среда. Для каждого пользователя компьютера формируется определённый перечень программ, разрешенных для запуска. Он может быть задан как индивидуально для каждого пользователя, так и определен на уровне групп пользователей.

Курс лекций Защита Информации/Классификация АСЗИ

Применение этого режима позволяет исключить распространение вирусов, «червей» и шпионского ПО, а также использования ПК в качестве игровой приставки.

 

Контроль целостности. Используется для слежения за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием. Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование, т.е. на наличие файлов по заданному пути. При обнaружении несоответствия предусмотрены следующие варианты реакции на возникающие ситуации нарушения целостности: регистрация события в журнале Secret Net; блокировка компьютера; восстановление повреждённой/модифицированной информации; отклонение или принятие изменений.

 

 

Предыдущая12345678910111213141516Следующая

Date: 2016-01-20; view: 168; Нарушение авторских прав

Понравилась страница? Лайкни для друзей:

.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *