Основные положения руководящих документов Гостехкомиссии России

Материал данного вопроса содержится в / 3, 4 /.

В 1992 г. Гостехкомиссия (ГТК) при Президенте Российской феде­рации (РФ) опубликовала пять Руководящих документов, посвященных вопросам защиты от несанкционированного доступа к информации. Рассмотрим важнейшие их них — "Концепция защиты средств вычислительной техники от несанкционированного доступа к ин­формации", "Средства вычислительной техники. Защита от несанкциони­рованного доступа к информации. Показатели защищенности от несанк­ционированного доступа к информации", "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации".

Идейной основой этих документов является "Концепция защиты средств вычислительной техники от несанкционированного доступа к информации (НСД)", содержащая систему взглядов ГТК на проблему ин­формационной безопасности и основные принципы защиты компьютер­ных систем.

Руководящие документы Гостехкомиссии России устанавливают некоторые термины и определения, составляющие базовые концепции безопасности компьютерных систем.

Руководящие документы ГТК предлагают две группы критериев безопасности — показатели защищенности средств вычислительной тех­ники (СВТ) от НСД и критерии защищенности автоматизированных сис­тем (АС) обработки данных. Первая группа позволяет оценить степень защищенности (правда только относительно угроз одного типа — НСД) отдельно поставляемых потребителю компонентов ВС, а вторая рассчита­на на полнофункциональные системы обработки данных.

Показатели защищенности СВТ от НСД

Данный руководящий документ устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Под СВТ понимается совокупность программных и технических элемен­тов систем обработки данных, способных функционировать самостоя­тельно или в составе других систем.

Данные показатели содержат требования защищенности СВТ от НСД к информации и применяются к общесистемным программным сред­ствам и операционным системам (с учетом архитектуры ЭВМ). Конкрет­ные перечни показателей определяют классы защищенности СВТ и опи­сываются совокупностью требований. Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ).

Установлено шесть классов защищенности СВТ от НСД к информа­ции. Самый низкий класс — шестой, самый высокий — первый.

Показатели защищенности и установленные требования к классам приведены в табл. 1.

Требования к защищенности автоматизированных систем

Данные требования являются составной частью критериев защи­щенности автоматизированных систем обработки информации от НСД. Требования сгруппированы вокруг реализующих их подсистем защиты. В отличие от остальных стандартов отсутствует раздел, содержащий требо­вания по обеспечению работоспособности системы, но присутствует раздел, посвященный криптографическим средствам. Другие стандарты информационной безопасности, рассматривают ее исключительно в качестве механизма за­щиты, реализующего требования аутентификации, контроля целостности и т. д. Исключением являются только "Единые критерии", в них требования раздела криптографии касаются распределения ключей, все остальное регламентируется отдельными стандартами. Таксо­номия требований к средствам защиты АС от НСД приведена на рис. 1.

Распределение показателей защищенности по классам СВТ.        Таблица 1.

Обозначения: "-" - нет требований к данному классу;

"+" - новые или дополнительные требования;

"=" - требования совпадают с требованиями к СВТ предыдущего класса;

"КСЗ" - комплекс средств защиты.