Основы информационной безопасности
[+]
Опубликован: 01.04.2003 | Доступ: свободный | Студентов: 51357 / 22876 | Оценка: 4.36 / 4.11 | Длительность: 14:11:00
ISBN: 978-5-9556-0052-9
Тема: Безопасность
Специальности: Специалист по безопасности
Теги: java, kerberos, аутентификация, безопасность, законы, информационный сервис, инфраструктура, компоненты, конфиденциальность, общие критерии, оранжевая книга, поддерживающая инфраструктура, политика, политики безопасности, регистрационная информация, серверы, сервис безопасности, сервисы, сертификат ключа подписи, стандарты, субъект информационных отношений, удостоверяющий центр, шифрование, электронная почта
Лекция 5:

Стандарты и спецификации в области информационной безопасности
A
|
версия для печати
< Лекция 4 || Лекция 5: 123456 || Лекция 6 >

Классификация автоматизированных систем

Гостехкомиссия России в период своего существования вела весьма активную нормотворческую деятельность, выпуская Руководящие документы (РД), играющие роль национальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления Гостехкомиссия России выбрала ориентацию на "Общие критерии". Сейчас эту деятельность продолжает ФСТЭК.

В соответствии с Руководящим документом "Классификация автоматизированных систем" устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользователь, имеющий доступ ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранящейся на носителях различного уровня конфиденциальности.

Группа содержит два класса - 2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

Сведем в таблицу требования ко всем девяти классам защищенности АС.

Таблица 5.3. Требования к защищенности автоматизированных систем
Подсистемы и требования Классы
1. Подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: в систему; + + + + + + + + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ; - - - + - + + + +
к программам; - - - + - + + + +
к томам, каталогам, файлам, записям, полям записей. - - - + - + + + +
1.2. Управление потоками информации - - - + - - + + +
2. Подсистема регистрации и учета 2.1. Регистрация и учет: входа/выхода субъектов доступа в/из системы (узла сети); + + + + + + + + +
выдачи печатных (графических) выходных документов; - + - + - + + + +
запуска/завершения программ и процессов (заданий, задач); - - - + - + + + +
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей; - - - + - + + + +
изменения полномочий субъектов доступа; - - - - - - + + +
создаваемых защищаемых объектов доступа. - - - + - - + + +
2.2. Учет носителей информации. + + + + + + + + +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. - + - + - + + + +
2.4. Сигнализация попыток нарушения защиты. - - - - - - + + +
3. Криптографическая подсистема 3.1. Шифрование конфиденциальной информации. - - - + - - - + +
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах. - - - - - - - - +
3.3. Использование аттестованных (сертифицированных) криптографических средств. - - - + - - - + +
4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации. + + + + + + + + +
4.2. Физическая охрана средств вычислительной техники и носителей информации. + + + + + + + + +
4.3. Наличие администратора (службы защиты) информации в АС. - - - + - - + + +
4.4. Периодическое тестирование СЗИ НСД. + + + + + + + + +
4.5. Наличие средств восстановления СЗИ НСД. + + + + + + + + +
4.6. Использование сертифицированных средств защиты. - + - + - - + + +

"-" нет требований к данному классу;

"+" есть требования к данному классу;

"СЗИ НСД" система защиты информации от несанкционированного доступа

По существу перед нами - минимум требований, которым необходимо следовать, чтобы обеспечить конфиденциальность информации. Целостность представлена отдельной подсистемой (номер 4), но непосредственно к интересующему нас предмету имеет отношение только пункт 4.1. Доступность (точнее, восстановление) предусмотрено только для самих средств защиты.

Дальше >>
< Лекция 4 || Лекция 5: 123456 || Лекция 6 >

Вопросы и ответы

вопросов: 54
Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????

ответить
Александр Солошенко
Александр Солошенко

В курсе "Основы информационной безопасности" в лекции 3 "Наиболее распространенные угрозы", разделе "Вредоносное программное обеспечение" мне непонятно значение термина "интерпретируемые компоненты документа" в следующем контексте:

"Как уже говорилось, пассивные объекты отходят в прошлое; так называемое активное содержимое становится нормой. Файлы, которые по всем признакам должны были бы относиться к данным (например, документы в форматах MS-Word или Postscript, тексты почтовых сообщений), способны содержать интерпретируемые компоненты, которые могут запускаться неявным образом при открытии файла. Как и всякое в целом прогрессивное явление, такое "повышение активности данных" имеет свою оборотную сторону (в рассматриваемом случае - отставание в разработке механизмов безопасности и ошибки в их реализации). Обычные пользователи еще не скоро научатся применять интерпретируемые компоненты "в мирных целях" (или хотя бы узнают об их существовании), а перед злоумышленниками открылось по существу неограниченное поле деятельности. Как ни банально это звучит, но если для стрельбы по воробьям выкатывается пушка, то пострадает в основном стреляющий."

Что такое интерпретируемые компоненты по своей сути? Какие есть примеры?

ответить