Студопедия  
Главная страница | Контакты | Случайная страница

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Основные положения концепции защиты СВТ АС от НСД к информации

Читайте также:
  1. C. Движение информации и ее трансформация от исходной в командную
  2. E. Порядок защиты курсовой работы.
  3. F1:Концепции современного естествознания
  4. Flash –носители информации
  5. I. Изучите блок теоретической информации: учебник стр. 89-105, конспект лекций № 12-13.
  6. I. ОБЩИЕ ПОЛОЖЕНИЯ
  7. I. ОБЩИЕ ПОЛОЖЕНИЯ
  8. I. ОБЩИЕ ПОЛОЖЕНИЯ
  9. I. ОБЩИЕ ПОЛОЖЕНИЯ
  10. I. ОБЩИЕ ПОЛОЖЕНИЯ

 

 

Принципы защиты от НСД

1. Защита ВС и АС основывается на положениях и требованиях существующих законов, стандартов и нормативно-методических документах по защите НСД к информации

2. Защита СВЧ обеспечивается комплексом программно-технических средств

3. Защита АС обеспечивается комплексом ПТС и поддерживающих их организационных мер.

4. Защита АС должна обеспечиваться на всех технологических этапах обработки. информации и во всех режима функционирования, в том числе при проведении ремонтных и регламентных работ.

5. ПТС защиты не должны существенно ухудшать основные функциональные характеристики АС, такие как: надежность, быстродействие, возможность изменения конфигурации АС.

6. Неотъемлемой частью работ по защите является оценка эффективности средств защиты, осуществляемая по методике, учитывающей всю совокупность тех.характеристик оцениваемого объекта, включая тех.решения и практическую реализацию средств защиты

7. АС должна предусматривать контроль эффективности СЗ от НСД, который может быть либо периодическим, либо инициироваться по мере необходимости пользователем или контролирующими органами

В качестве нарушителя рассматривается объект или субъект, имеющий доступ к работе со штатными средствами АС и СВТ, как касти АС

Нарушители классифицируются по уровню возможности предоставляемых им штатными СВТ.

4 уровня возможности. На каждом уровне нарушитель – специалист высшей квалификации, знает все об АС и СЗ.

1 уровень: возможность ведения диалога в АС (запуск программы из фиксированного набора реализующих заранее предусмотренных функций по обработке информации)

2 уровень: возможность создания и запуска собственных программ с новыми функциями по обработке информации.

3 уровень: возможность управления АС. Т.е. воздействие на базовое ПО, состав и конфигурацию ее оборудования.

4 уровень: весь объем возможности лиц, осуществляющих проектирование, реализацию и ремонт ТС АС, вплоть до включения в состав средств ВТ собственных ТС с новыми функциями по обработке информации.

Данные уровни – иерархические, каждый последующий включает возможности всех предыдущих.

 

Оценка ТСЗ от НСД по основным характеристикам

1. Степень полноты и качества охвата правил разграничения доступа(РД) реализованной системы разграничения доступа.

1.1. Четкость и непротиворечивость правил доступа

1.2. Надежность идентификации правил доступа

2. Состав и качество обеспечивающих средств для СРД

2.1. Средства идентификации и опознания субъектов и порядок их использования

2.2. Полнота учета действий субъектов

2.3. Способы поддержания привязки субъекта к его процессу

3. Гарантии правильности функционирования СРД и обеспечивающих ее средств.

3.1. При оценке используется соответствующая документация.

Обеспечение ЗСВТ осуществляется СРД субъектов к объектам доступа и обеспечивающими средствами для СРД.

Основными функциями СРД являются:

1. Реализация правил РД субъектов и их процессов к данным

2. Реализация правил РД субъектов и их процессов к устройствам создания твердых копий

3. Изоляция программ процесса, выполняемого в интересах субъекта от других субъектов

4. Управление потоками данных с целью предотвращения записи данных на носитель несоответствующего грифа

5. Реализация правил обмена данными между субъектами для АС и СВТ построенных по сетевым принципам.

Обеспечивающие средсвта для средств разделения доступа выполняет следующие пункты:

1. Идентификацию и опознание субъектов и поддержание привязки субъектов к процессу, выполняемого для субъекта.

2. Регистрация действий субъекта и его процесса

3. Предоставление возможностей исключения и включения новых субъектов и объектов доступа, а так же изменение полномочий субъекта

4. Реакция на попытки НСД (сигнализация, блокировка, восстановление после НСД)

5. Тестирование

6. Очистка оперативной памяти и рабочих областей на носителях после завершения работы пользователя с защищенными данными.

7. Учет выходных, печатных и графических форм и твердых копий в АС

8. Контроль целостности программной и информационной части как средств разделения доступа, так и обеспечивающих ее средств.

 

Система разграничения доступа (СРД) может быть реализована следующим образом:

· В виде распределенной системы или локальной без защиты

· В рамках ОС или прикладных программ

· В средствах реализации сетевого взаимодействия

· С использованием криптографии или методов непосредственного контроля доступа

· Путем программной или аппаратной реализации

Организация работ по ЗСВТ и АС от НСД к информации должна быть частью общей организации работ по обеспечению безопасности информации. При этом обеспечение защиты основывается на требованиях по защите к разрабатываемым СВТ и АС, формируемым заказчиком и согласованным с разработчиком. Такие требования создаются либо в виде желаемого уровня защищенности СВТ или АС, либо в виде перечня требований соответствующих этому уровню.

Проверка выполнения тех. требований по защите проводится аналогично с другими требованиями в процессе испытаний. По результатом успешных испытаний оформляется сертификат, определяющий соответствия СВТ и АС требованиям по защите и дающий право разработчику на использование или распространение их, как защищенных.

Разработка мероприятий по защите должна проводится одновременно с разработкой СВТ и АС и выполняться за счет финансов, выделенных на разработку.

 

СВТ. Защита от НСД к информации

Показатели защищенности от НСД к информации

Руководящий документ устанавливает классификацию СВТ по уровню защищенности от НСД к инофрмации на базе перечня показателей защищенности и описывающих их требования. СВТ рассматриваются как совокупность программных и технических элементов, способных функционировать самостоятельно или в составе других систем.

7 классов защищенности, разбитые на 4 группы:

1 группа:

7-ой класс – СВТ, которые были представлены к оценке, но не удовлетворили требованиям более высоких классов

2 группа:

6 и 5 классы – дискреционная защита

3 группа:

4,3 и 2 классы – мандатная защита

4 группа:

1 класс – верифицированная защита

Требования повышаются с уменьшением номера класса. Каждый класс характеризуется фиксированным набором показателей защищенности. Классы являются иерархически упорядоченными, каждый последующий содержит требования предыдущих.

 

Лекция (28.04.14)

Требования, предъявляемые к показателям защищенности:

1. Дискреционный принцип контроля доступа

2. Мандатный ПКД

3. Очистка памяти

4. Изоляция модулей

5. Маркировка документов

6. Защита ввода и вывода на отчуждаемый физический носитель информации

7. Сопоставление пользователя и устройства

8. Идентификация и аутентификация

9. Гарантии проектирования

10. Регистрация

11. Взаимодействие пользователя с комплексом СЗ

12. Надежное восстановление данных (информации)

13. Целостность комплексов СЗ

14. Контроль модификации

15. Контроль точности копирования при изготовлении копии с образца носителя данных (дистрибуции)

16. Гарантии архитектуры

17. Тестирование

18. Руководство пользователя

19. Руководство по комплексу СЗ

20. Тестовая документация

21. Проектная документация

 

Классификация АС

Состоит из следующих этапов:

1. Разработка и анализ исходных данных

2. Выявление основных признаков АС, необходимых для классификации

3. Сравнение выявленных признаков АС с классифицируемыми

4. Присвоение АС соответствующего класса защиты информации от НСД

 

Исходные данные для классификации АС

1. Перечень защищаемых информационных ресурсов и их уровень конфиденциальности

2. Перечень лиц, имеющих доступ к штатным средствам АС и их уровень полномочий

3. Матрица доступа или полномочия субъектов доступа по отношению к защищаемому информационному ресурсу АС

4. Режим обработки данных в АС

 

Выбор класса АС производится заказчиком или разработчиком с привлечением специалистов по ЗИ. Устанавливаются 9 классов защищенности от НСД к информации, каждый класс характеризуется определенной минимальной совокупностью требований. Подразделяются на 3 группы.

3 группа: 3б и 3а

Классы соответствуют АС, в которых работает 1 пользователь, допущенный до всей информации АС, размещенной на носителях одного уровня конфиденциальности.

2 группа: 2б и 2а

Классы данной группы соответствуют АС, где все пользователи имеют одинаковые права доступа к всей информации в АС, обрабатываемой или хранимой на носителях разных уровней конфиденциальности.

1 группа: 1д, 1г, 1в, 1б, 1а

Одновременно хранится или обрабатывается информация разного уровня конфиденциальности. Не все пользователи имеют доступ ко всей информации в АС

Для каждого из классов фиксируется набор требований

1. Подсистема управления доступом

1.1. Идентификация и контроль доступа субъектов

1.1.1. В систему

1.1.2. К терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ

1.1.3. К программам

1.1.4. К томам, каталогам, записям, полям записей, файлам

1.2. Управление потоками информации

2. Подсистема регистрации и учета

2.1. Регистрация и учет:

2.1.1. Вход/выход субъекта в/из системы или узла сети

2.1.2. Выдача печатных графических выходных документов

2.1.3. Запуск/завершение программ или процессов

2.1.4. Доступ программ субъекта к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи

2.1.5. Доступ программ субъекта к терминалу, компьютерам, узлам сети, каналам связи и т.д.

2.1.6. Изменения полномочий субъектов доступа

2.1.7. Создание защищаемых объектов доступа

2.2. Учет носителей информации

2.3. Очистка освобождаемых областей ОС и внешних накопителей

2.4. Сигнализация попыток нарушения защиты

3. Криптографическая подсистема

3.1. Шифрование КИ

3.2. Шифрование информации, принадлежащий различным субъектам доступа или группам субъекта на различных ключах

3.3. Использование сертифицированных криптографических средств

4. Подсистема обеспечения целостности

4.1. Обеспечение целостности программных средств и обрабатываемой информации

4.2. Физическая охрана средств ВТ и обрабатываемой информации

4.3. Наличие администратора (службы ЗИ в АС) средств защиты

4.4. Периодическое тестирование СЗ от НСД

4.5. Наличие средств восстановления СЗИ от НСД

4.6. Использование сертифицированных СЗ

 

СВТ, МЭ, защита от НСД, показатели защищенности от НСД к информации

Руководящие документы устанавливают классификацию МЭ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности, описывающие их требования. Показатели защищенности применяются к МЭ для определения ровня защищенности, который они обеспечивают при межсетевом взаимодействия

Устанавливается 5 классов защищенности МЭ однозначно сопоставимых с классами АС от 1д до 1а.

Принадлежность к тому или иному классу МЭ производится путем анализа соответствия показателя защищенности:

1. Управление доступом (фильтрация данных, трансляция адресов)

2. Идентификация и аутентификация входящих/исходящих запросов

3. Регистрация

4. Администрирование (Идентификация и аутентификация)

5. Администрирование (простота использования)

6. Целостность

7. Восстановление

8. Тестировании

9. Руководство админа

10. Тестовая документация

11. Проектная документация

 

Защита от НСД к информации, ПО, классификация по уровню контроля

Рук.док. устанавливают классификацию ПО по уровню контроля отсутствия в нем не декларированных возможностей (несоответствующие описанным в документации или неописанные. Нарушение конфиденциальности, доступности, целостности обрабатываемо информации)

Одной из возможных реализаций являются программные закладки, преднамеренно внесенные в ПО функциональные объекты, инициирующие выполнение функций, приводящих к нарушению конфиденциальности, целостности, доступности обрабатываемой информации. (неописанные в документации)

Устанавливают 4 уровня контроля, каждый из которых хар-ся определенной совокупностью минимальных требований. В общем случае ПО предъявляются следующие требования:

Требования к документации

 




Дата добавления: 2014-12-19; просмотров: 54 | Поможем написать вашу работу | Нарушение авторских прав




lektsii.net - Лекции.Нет - 2014-2024 год. (0.013 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав