В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 14
Текст из файла (страница 14)
Безопасность системы в целом оценивается отдельно для систем и продуктов. Зашишенность их не может быть выше мощности самого слабого из критически важных механизмов безопасности (средств защиты). При проверке эффективности анализируется соответствие между задачами безопасности по конфиденциальности, целостности, доступности информации и реализованным набором функций безопасности — их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест зашиты. Кроме того, в понятие «эффективность» включается и способность механизмов защиты противостоять прямым атакам, которая называется мощностью механизмов защиты.
По !ТУЕС декларируется три степени мошности: базовая, средняя и высокая. При проверке корректности анализируется правильность и надежность реализации функций безопасности. По 1ТБЕС декларируется семь уровней корректности — от ЕО до Е6. В «Европейских критериях» установлено 10 классов безопасности (Е-С1, Е-С2, Е-В1, Е-В2, Е-ВЗ, Е-!Аг, ЕАР; Е-Р1, Е-РС, Е-РХ). Первые пять классов безопасности аналогичны классам С1, С2, В1, В2, ВЗ американских критериев ТСЯЕС. Класс Е-1Ж предназначен для систем с высокими потребностями к обеспечению целостности, что типично для СУБД, и различает следующие виды доступа: чтение, запись, добавление, удаление, создание, переименование и выделение объектов.
Класс Е-АРпредназначен для систем с высокими требованиями к обеспечению их работоспособности за счет противодействия угрозам отказа в обслуживании (сушественно для систем управления технологическими процессами). Класс Е-Р1 ориентирован на системы с повышенными требованиями к целостности данных, которые передаются по каналам связи. Класс Е-РС характеризуется повышенными требованиями к конфиденциальности информации, а класс Е-РХ предназначен лля систем с повышенными требованиями одновременно по классам Е-Р1 и Е-РС. Канада разработала СТСРЕС, США разработали новые «Федеральные Критерии» (Гес!ега! Сг!гепа). Так как эти критерии яв- 60 ляются несовместимыми между собой, было принято решение попытаться гармонизировать (объединить) все эти критерии в новый набор критериев оценки защищенности, названный Сотшоп Сгйепа.
Общие критерии дают набор критериев по оценке защищенности и устанавливают требования к функциональным возможностям и требования к гарантиям; семь уровней доверия (Уровни гарантий при оценке), которые может запросить пользователь (уровень ЕАЫ обеспечивает лишь небольшое доверие к корректности системы, а уровень ЕАЕ7 дает очень высокие гарантии); два понятия: «профиль защиты» и «цель безопасности».
2.2.2. Отечественное организационное, правовое и нормативное обеспечение и регулирование в сфере ИБ К основным задачам в сфере обеспечения и регулирования ИБ РФ относятся следующие; ° формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализация конституционных прав и свобод граждан на информационную деятельность; ° совершенствование законодательства Российской Федерации в сфере обеспечения ИБ; ° определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации и органов местного самоуправления в сфере обеспечения ИБ; ° координация деятельности органов государственной власти по обеспечению ИБ; ° создание условий для успешного развития негосударственной компоненты в сфере обеспечения ИБ, осуществления эффективного гражданского контроля за деятельностью органов государственной власти; » совершенствование и зашита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхожления России в глобальную информационную инфраструктуру; ° развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение во всех видах таких систем; ° развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке; ° защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса; б! ° духовное возрождение России, обеспечение сохранности и защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историкокультурных объектов); ° сохранение традиционных духовных ценностей при важнейшей роли Русской Православной церкви и церквей других конфессий; ° пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности; ° повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств — членов Содружества Независимых государств (СНГ); ° создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры; ° противодействие угрозе развязывания противоборства в информационной сфере; ~ организация международного сотрудничества по обеспечению ИБ при интеграции России в мировое информационное пространство.
Установление стандартов и нормативов в сфере обеспечения ИБ РФ является наиболее важной регулирующей функцией. Девять государственных стандартов Российской Федерации (ГОСТ 28147 — 89, ГОСТ Р 34.10 — 94, ГОСТ Р 34.11 — 94, ГОСТ 29.339 — 92, ГОСТ Р 50752 — 95, ГОСТ РВ 50170 — 92, ГОСТ Р 50600 — 93, ГОСТ Р 50739 — 95, ГОСТ Р 50922 — 96) относятся к различным группам по классификатору стандартов и, к сожалению, не являются функционально полными ни по одному из направлений защиты процессов переработки информации. Кроме того, есть семейства родственных стандартов, имеющих отношение к области защиты процессов переработки информации: ° системы тревожной сигнализации, комплектуемые извещателями различного принципа действия — 12 ГОСТов'„ ° информационные технологии (сертификация систем телекоммуникации, программных и аппаратных средств, аттестационное тестирование взаимосвязи открытых систем, аттестация баз данных и т.д.) — около 200 ГОСТов; ° системы качества (в том числе стандарты серии 9000, введенные в действие на территории Российской Федерации) — больше 100 ГОСТов.
Значительная часть (около 60%) стандартов на методы контроля и испытаний может быть признана не соответствующей требованию Закона РФ «Об обеспечении единства измерений» от 62 27 04.93 М 4871-1, как правило, в части погрешностей измерений. Отсутствуют стандарты в сфере информационно-психологической безопасности. Одним из отечественных аналогов перечисленных стандартов является руковолящий документ Гостехкомиссии России «Автоматизированные системы. Зашита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации».
Комплексный характер зашиты процессов переработки информации достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической зашиты в соответствии с российскими государственными стандартами: ° ГОСТ 28147 — В9 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»; ° ГОСТ Р 34.10 — 94 «Информационная технология.
Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»: ° ГОСТ Р 34.11 — 94 «Информационная технология. Криптографическая защита информации. Функция хэширования»! ° ГОСТ Р 50739 — 95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования». Проблема обеспечения безопасности носит комплексный характер.
Для ее решения необходимо сочетание как правовых мер, так и организационных (например, в компьютерных информационных системах на управленческом уровне руководство каждой организации должно выработать политику безопасности, определяющую общее направление работ, и выделить на эти цели соответствующих ресурсы), и программно-технических (идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование). 2.3. Организационное регулирование защиты процессов переработки информации Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в госуларстве, ведомствах, учрежлениях и организациях.
При рассмотрении вопросов И Б такая деятельность относится к организационным методам защиты процессов переработки информации. Организационные методы зашиты процессов переработки информации включают в себя меры, мероприятия и действия, кото- 63 рые должны осуществлять лолжностные лица в процессе создания и эксплуатации КС для обеспечения заданного уровня ИБ. Организационные методы защиты процессов переработки информации тесно связаны с правовым регулированием в области безопасности информации. На организационном уровне решаются следующие задачи обеспечения безопасности функционирования информации в КС: ° организация работ по разработке системы защиты процессов переработки информации; ° ограничение доступа на объект и к ресурсам КС; ° разграничение доступа к ресурсам КС; ° планирование мероприятий; ° разработка документации; ° воспитание и обучение обслуживающего персонала и пользователей'„ ° сертификация средств защиты процессов переработки информации; ° лицензирование деятельности по защите процессов переработки информации; ° аттестация объектов защиты; ° совершенствование системы защиты процессов переработки информации; ° оценка эффективности функционирования системы защиты процессов переработки информации; ° контроль выполнения установленных правил работы в КС.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
