Средства защиты информации от несанкционированного доступа
Тема 18: Назначение и возможности средств защиты информации от несанкционированного доступа.
Тема 19: Рекомендации по выбору средств защиты информации от несанкционированного доступа.
Тема 20: Аппаратно-программные средств защиты информации от несанкционированного доступа.
Тема 21: Возможности применения штатных и дополнительных средств защиты информации от несанкционированного доступа.
Раздел III - Тема 18:
Назначение и возможности средств защиты информации
От несанкционированного доступа
Принято различать внешнюю и внутреннюю безопасность компьютерных систем. Внешняя безопасность включает защиту АС от проникновения злоумышленников извне с целью получения неправомерного доступа к информации и ее носителям, а также с целью вмешательства в процессы функционирования или вывода отдельных компонентов автоматизированной системы из строя.
Усилия по обеспечению внутренней безопасности компьютерных систем фокусируются на создании надежных и удобных механизмов регламентации деятельности всех ее законных пользователей и обслуживающего персонала для принуждения их к безусловному соблюдению установленной в организации дисциплины доступа к ресурсам системы.
Задачи, решаемые средствами защиты информации от несанкционированного доступа
На технические средства защиты информации от НСД возлагают решение следующих основных задач:
|
|
· защиту от вмешательства в процесс функционирования АС посторонних лиц (возможность использования автоматизированной системы и доступ к ее ресурсам должны иметь только зарегистрированные установленным порядком пользователи - сотрудники подразделений организации);
· разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС (обеспечение возможности доступа только к тем ресурсам и выполнения только тех операций, которые необходимы конкретным пользователям АС для выполнения ими своих служебных обязанностей);
· регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов сотрудниками подразделений компьютерной безопасности;
· оперативный контроль за работой пользователей АС и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;
· защиту от несанкционированной модификации (обеспечение неизменности, целостности) используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы и вредоносные «программы-закладки»;
|
|
· защиту хранимой, обрабатываемой и передаваемой по каналам связи информации ограниченного распространения от несанкционированного разглашения, искажения подмены или фальсификации;
· обеспечение аутентификации абонентов, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
· гибкое управление всеми защитными механизмами.
Кроме того, системы защиты информации от НСД должны обладать высокой надежностью, универсальностью, возможностями реализации современных технологий защиты, невысокими требованиями к ресурсам защищаемых компьютеров, широкими возможностями по управлению механизмами защиты, должны работать с разнообразными средствами аппаратной поддержки защитных функций, и ориентироваться на наиболее распространенные операционные системы.
Раздел III - Тема 19:
Рекомендации по выбору средств защиты информации
От несанкционированного доступа
На выбор средств защиты информации оказывают влияние потребности организации в определенном уровне защищенности автоматизированной системы, количество компьютеров, их основные технические характеристики, применяемые операционные системы и т.п.
|
|
Потребности организации в некотором уровне защищенности автоматизированной системы можно определить, воспользовавшись руководящими документами ФСТЭК России, классифицирующими АС по уровням требований к защите («Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»).
При выборе соответствующих уровню защищенности АС конкретных средств защиты необходимо пользоваться руководящим документом ФСТЭК России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
Защищенность СВТ есть потенциальная защищенность, т.е. способность их предотвращать или существенно затруднять НСД к информации в дальнейшем при использовании СВТ в составе АС. Защита СВТ обеспечивается комплексом программно-технических средств.
Защита АС обеспечивается комплексом программно - технических средств и поддерживающих их организационных мер.
|
|
Эти требования выражаются в показателях защищенности. Совокупность значений показателя защищенности определяет класс защищенности АС или СВТ. Существует 9 классов защищенности АС, объединенные в 3 группы и 6 классов защищенности СВТ.
Основные требования ФСТЭК России к защищенности АС сведены в таблицу 3.19.1, СВТ - в таблицу 3.19.2.
Распределение показателей защищенности по классам для автоматизированных систем
Таблица 3.19.1
Подсистемы и требования | Классы | ||||||||
ЗБ | ЗА | 2Б | 2А | 1Д | 1Г | 1В | 1Б | 1А | |
1. Подсистема управления доступом | |||||||||
1.1. Идентификация, проверка подлинности и контроль доступа | |||||||||
субъектов: | |||||||||
• в систему | + | + | + | + | + | + | + | + | + |
• к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, | + | + | + | + | + | ||||
внешним устройствам ЭВМ | |||||||||
• к программам | - | - | - | + | - | + | + | + | + |
• к томам, каталогам, файлам, записям, полям записей | - | - | - | + | - | + | + | + | + |
1.2. Управление потоками информации | - | - | - | + | - | - | + | + | + |
2. Подсистема регистрации и учета | |||||||||
2.1. Регистрация и учет: | |||||||||
• входа (выхода) субъектов доступа в (из) системз' (узел | + | + | + | + | + | + | + | + | + |
сети) | |||||||||
• выдачи печатных (графических) выходных документов | - | + | - | + | - | + | + | + | + |
• запуска (завершения) программ и процессов (заданий, | + | + | + | + | + | ||||
задач) | |||||||||
• доступа программ субъектов доступа к защищаемым | |||||||||
файлам, включая их создание и удаление, передачу по | - | - | - | + | - | + | + | + | + |
линиям и каналам связи | |||||||||
• доступа программ субъектов доступа к терминалам, | |||||||||
ЭВМ, узлам сети ЭВМ, каналам связи, внешним | + | + | + | + | + | ||||
З^стройствам ЭВМ, программам, томам, каталогам, | |||||||||
файлам, записям, полям записей | |||||||||
• изменения полномочий субъектов доступа | + | + | + | ||||||
• создаваемых защищаемых объектов доступа | - | - | - | + | - | - | + | + | + |
2.2. Учет носителей информации | + | + | + | + | + | + | + | + | + |
2.3. Очистка (обнуление, обезличивание) освобождаемых | + | + | + | + | + | + | |||
областей оперативной памяти ЭВМ и внешних накопителей | |||||||||
2.4. Сигнализация попыток нарушения защиты | + | + | + | ||||||
3. Криптографическая подсистема | |||||||||
3.1. Шифрование конфиденциальной информации | - | - | - | + | - | - | - | + | + |
3.2. Шифрование информации, принадлежащей различным | + | ||||||||
субъектам доступа (группам субъектов) на разных ключах | |||||||||
3.3. Использование аттестованных (сертифицированных) | + | + | + | ||||||
криптографических средств | |||||||||
4. Подсистема обеспечения целостности | |||||||||
4.1. Обеспечение целостности программных средств и | + | + | + | + | + | + | + | + | + |
обрабатываемой информации | |||||||||
4.2. Физическая охрана средств вычислительной техники и | + | + | + | + | + | + | + | + | + |
носителей информации | |||||||||
4.3. Наличие администратора (службы) защиты информации в | + | + | + | + | |||||
АС | |||||||||
4.4. Периодическое тестирование СЗИ НСД | + | + | + | + | + | + | + | + | + |
4.5. Наличие средств восстановления СЗИ НСД | + | + | + | + | + | + | + | + | + |
4.6. Использование сертифицированных средств защиты | - | + | - | + | - | - | + | + | + |
Требования руководящих документов ФСТЭК России к средствам защиты информации от несанкционированного доступа
Таблица 3.19.2
Наименование показателя
| Класс защищенности | |||||
6 | 5 | 4 | 3 | 2 | 1 | |
1. Дискреционный принцип контроля доступа | + | + | + | = | + | = |
2. Мандатный принцип контроля доступа | - | - | + | = | = | = |
3. Очистка памяти | - | + | + | + | = | = |
4. Изоляция модулей | - | - | + | = | + | = |
5. Маркировка документов | - | - | + | = | = | = |
6. Защита ввода и вывода на отчуждаемый физический | + | |||||
носитель информации | ||||||
7. Сопоставление пользователя с устройством | - | - | + | = | = | = |
8. Идентификация и аутентификация | + | = | + | = | = | = |
9. Гарантии проектирования | - | + | + | + | + | + |
10. Регистрация | - | + | + | + | = | = |
11. Взаимодействие пользователя с КСЗ | - | - | - | + | = | = |
12. Надежное восстановление | - | - | - | + | = | = |
13. Целостность КСЗ | - | + | + | + | = | = |
14. Контроль модификации | - | - | - | - | + | = |
15. Контроль дистрибуции | - | - | - | - | + | = |
16. Гарантии архитектуры | - | - | - | - | - | + |
17. Тестирование | + | + | + | + | + | = |
18. Руководство пользователя | + | = | = | = | = | = |
19. Руководство по КСЗ | + | + | = | + | + | = |
20. Тестовая документация | + | + | + | + | + | = |
21. Конструкторская (проектная) документация | + | + | + | + | + | + |
Обозначения:
«-» - нет требований к данному классу
«+»- новые или дополнительные требования
«=»- требования совпадают с требованиями к СВТ предыдущего класса.
Сокращения:
КСЗ - комплекс средств защиты.
Дата добавления: 2018-02-28; просмотров: 1696; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!