Основные положения РД Гостехкомисии России «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации».

Руководящий документ устанавливает классификацию АС, подлежащих защите от НСД к информации, и задаёт требования по защите информации в автоматизированных системах различных классов.

В соответствии с документом, классификация АСвключает следующие этапы:

1. Разработка и анализ исходных данных.

2. Выявление основных признаков АС, необходимых для классификации.

3. Сравнение выявленных признаков АС с классифицируемыми.

4. Присвоение АС соответствующего класса защиты информации от НСД.

Исходными даннымидля классификации АС являются:

1. Перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности.

2. Перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий.

3. Матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС.

4. Режим обработки данных в АС.

Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации. Устанавливаются 9 классов защищённостиАС от

НСД к информации, каждый класс характеризуется определённой минимальной

совокупностью требований по защите. Классы подразделяются на 3 группы:

- III группа – классы 3Б и 3А

Классы соответствуют автоматизированным системам, в которых работает один пользователь, допущенный ко всей информации в АС, размещённой на носителях одного уровня конфиденциальности.

- II группа – классы 2Б и 2А

Классы данной группы соответствуют автоматизированным системам, в которых пользователи имеют одинаковые права доступа ко всей информации в АС, обрабатываемой или хранимой на носителях различного уровня конфиденциальности.

- I группа – классы 1Д, 1Г, 1В, 1Б и 1А

В соответствующих автоматизированных системах одновременно обрабатывается или хранится информация разных уровней конфиденциальности. Не все пользователи имеют доступ ко всей информации в АС.

Для каждого из классов фиксируется набор требований, составленный из следующего общего списка:

[Спрашивать про содержание классов не должны, но вдруг…]

Подсистема управления доступом

1.1. Идентификация, проверка подлинности и контроль доступа субъектов:

- в систему;

- к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;

- к программам;

- к томам, каталогам, файлам, записям, полям записей.

1.2. Управление потоками информации

Подсистема регистрации и учёта

2.1. Регистрация и учёт:

- входа (выхода) субъектов доступа в (из) систему (узел сети);

- выдачи печатных (графических) выходных документов;

- запуска (завершения) программ и процессов;

- доступа программ субъектов доступа к защищаемым файлам, включая их

создание и удаление, передачу по линиям и каналам связи;

- доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;

- изменения полномочий субъектов доступа;

- создаваемых защищаемых объектов доступа.

2.2. Учёт носителей информации.

2.3. Очистка освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.

2.4. Сигнализация попыток нарушения защиты.

Криптографическая подсистема

3.1. Шифрование конфиденциальной информации.

3.2. Шифрование информации, принадлежащей различным субъектам доступа (или

группам субъектов), на различных ключах.

3.3. Использование аттестованных (сертифицированных) криптографических средств.

Подсистема обеспечения целостности

4.1. Обеспечение целостности программных средств и обрабатываемой информации.

4.2. Физическая охрана СВТ и носителей информации.

4.3. Наличие администратора (службы) защиты информации в АС.

4.4. Периодическое тестирование средств защиты информации (СЗИ) от НСД.

4.5. Наличие средств восстановления СЗИ от НСД.

4.6. Использование сертифицированных средств защиты.

Проверка соответствия требованиям по защите информации от НСД для АС производится в рамках сертификационных или аттестационных испытаний.

29. Основные положения РД Гостехкомисии России «Средства вычислительной техники. Межсетевые экраны. Защита от НСД. Показатели защищѐнности от НСД к информации».

Руководящий документ  устанавливает классификацию межсетевых экранов по уровню защищённости от НСД к информации на базе перечня показателей защищённости и совокупности описывающих их требований. Показатели защищённости применяются к межсетевым экранам (МЭ) для определения уровня защищённости, который они обеспечивают при межсетевом взаимодействии.

Устанавливаются 5 классов защищённости МЭ, однозначно сопоставленных с классами автоматизированных систем.

Принадлежность к тому или иному классу МЭ определяется путём анализа соответствия следующим показателям защищённости:

1. Управление доступом (фильтрация данных и трансляция адресов). Для различных классов защищённости фильтрация производится на разных уровнях модели ISO/OSI.

2. Идентификация и аутентификация (входящих и исходящих запросов).

3. Регистрация.

4. Администрирования: идентификация и аутентификация.

5. Администрирование: регистрация.

6. Администрирование: простота использования.

7. Целостность.

8. Восстановление.

9. Тестирование (возможность проведения регламентного тестирования).

10. Руководство администратора защиты.

11. Тестовая документация.

12. Конструкторская (проектная) документация.

Ключевая особенность рассмотренного документа состоит в том, что классификация межсетевых экранов производится в том числе и по уровням модели ISO/OSI, на которых осуществляется фильтрация. Данный подход впервые был предложен именно в этом руководящем документе.

Основные положения РД Гостехкомисии России «Защита от НСД к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей».

Руководящий документ устанавливает классификацию программного обеспечения по уровню контроля отсутствия в нём недекларированных возможностей. Под недекларированными возможностями понимаются возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Одной из возможных реализаций недекларированных возможностей являются программные закладки – преднамеренно внесённые в программное обеспечение (ПО) функциональные объекты, которые при определённых условиях инициируют выполнение не описанных в документации функций ПО, приводящих к нарушению конфиденциальности, доступности или целостности обрабатываемой информации. Устанавливаются 4 уровня контроля, каждый из которых характеризуется определённой совокупностью минимальных требований. В общем случае к ПО предъявляются следующие требования:

- Требования к документации

Контроль состава и содержания документации

1.1. Спецификация.

1.2. Описание программы.

1.3. Описание применения.

1.4. Пояснительная записка.

1.5. Тексты программ, входящих в состав программного обеспечения.

- Требования к содержанию испытаний

Контроль исходного состояния программного обеспечения.