Студопедия

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника



Классы защищенности автоматизированных систем




Читайте также:
  1. A) системного программного обеспечения
  2. A) системный блок, дисплей, клавиатура
  3. A. системы учета
  4. A.Становление системы экспортного контроля
  5. AGIL. Системный подход в теории Т. Парсонса.
  6. B) Информационные системы в логистике
  7. CASE-технология создания информационных систем
  8. GNU(рекурсивный акроним от GNU’s Not UNIX — «GNU — не Unix!») — это проект создания свободной UNIX-подобная операционной системы, открытый в 1983 году Ричардом Столлмэном.
  9. I. Декларация-заявка на проведение сертификации системы качества II. Исходные данные для предварительной оценки состояния производства
  10. I. Особенности формирования отраслевой системы оплаты труда работников учреждений здравоохранения

Документы ГТК устанавливают девять классов за­щищенности АС от НСД, каждый из которых xapaктеризуются определенной совокупнопностью требовании к средствам защит. Классы подразделяются на три группы, отличающиеся спецификой обработки информации в АС. Группа АС определяется на основании следующих признаков:

· наличие в АС информации различного уровня конфиденциальности,

· уровень полномочий пользователей АС на доступ к конфиденциальной информации,

· режим обработки данных в АС (коллективный или индивидуальный).

В пределах каждой группы соблюдается иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности дли данной группы, обозначается индексом NA, где N - номер группы (от 1 до 3). Следующий класс обозначается NБ и т.д.

Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС. размещенной на носителях одного уровня конфи­денциальности. Группа содержит два класса —3Б и 3А.

Вторая группа включает АС, в которых пользовате­ли имеют одинаковые полномочия доступа ко всей ин­формации, обрабатываемой и/или хранимой в АС на но­сителях различного уровня конфиденциальности. Груп­па содержит два класса — 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности. Не все пользователи имеют равные права доступа. Группа содержит пять классов — 1Д, 1Г. 1В, 1Б и 1А.

На разработку этих документов наибольшее влияние оказала «Оранжевая киша», однако но влияние в ос­новном отражается в ориентированности обоих доку­ментов на системы военного применения и в использо­вании единой универсальной шкалы степени защищен­ности.

К недостаткам данного стандарта относятся, как мы уже говорили, отсутствие требований к защите от угроз работоспособности, ориентация на противодействие НСД и отсутствие требований к адекватности реализа­ции политики безопасности. Понятие «политика безо­пасности» трактуется исключительно как поддержание режима секретности и отсутствие НСД [1], что принципиально неверно. Из-за этою средства защиты ориен­тируются исключительно на противодействие внешним угрозам, а к структуре самой системы и се функциони­рованию не предъявляется никаких требований. Ран­жирование требований по классам защищенности по сравнению с остальными стандартами информационной безопасности максимально упрощено и сведено до определения наличия/отсутствия заданного набора ме­ханизмов защиты, что существенно снижает гибкость требований и возможность их практического примене­ния во многих случаях затрудняет.



Вид информации Классы защищенности
АС АВС С В Т МЭ СЗЗ ПО TCSEC IT SEC CC
группа группа группа
ОВ (ГТ) АВ1А АВ2А АВ3А 1-2 1-2 А1-В3 Е6-Е5 7-6
СС (ГТ) АВ1Б АВ2А АВ3А 3-4 В2 E4
С (ГТ) АВ1В АВ2А АВ3А 5-6 В1 E3
СлИ (К) АВ1В АВ2Б АВ3Б 7-9 С2 E2
КиП (К) АВ1В АВ2Б АВ3Б 10-12 С1 E1
ОИ 13-18 D0 E0

 



Хотя в настоящем стандарте определены именно ОУД, можно представлять другие комбинации компонентов доверия. Специально введенное понятие «усиление» («augmentation») допускает добавле­ние (из семейств доверия, до этого не включенных в ОУД) или замену компонентов доверия в ОУД (другими иерархичными компонентами из того же самого семейства доверия). Из конструкций уста­новления доверия, определенных в ГОСТ Р ИСО/МЭК 15408, только ОУД могут быть усилены. Понятие «ОУД» за исключением какого-либо составляющего его компонента доверия» не признано в ГОСТ Р ИСО/МЭК 15408 как допустимое утверждение. Вводящий усиление обязан строго обосновать полезность и дополнительную ценность добавленного к ОУД компонента доверия. ОУД может быть также расширен требованиями доверия, сформулированными в явном виде.

Требования к уровням безопасности по стандарту ТСSEC (Оранжевая книга) (классы D0, C1, C2, B1-B3, A1) практически совпадают с РД ГТК по СВТ (классы 7-1) и определяются в основном с учетом функциональных требований к системе защиты. Межсетевые экраны имеют пять классов защищенности.

Основным показателем при назначении класса является уровень базовой эталонной модели, на котором производится фильтрация межсетевых обменов. Европейские критерии – ITSEC классифицируют уровни адекватности и гарантированности средств защиты Е0-Е6. В Общих критериях – СС – фигурируют оценочные уровни доверия (ОУД1-ОУД7), которые присваиваются в зависимости от выполнения требований доверия средствами защиты на этапах их проектирования и эксплуатации. Как правило, система с более развитыми функциями защиты имеет и более высокие требования по доверию. Поэтому для двух последних стандартов, классы и уровни также приведены в таблице. Но здесь можно говорить только о примерном их соответствии классам и уровням других стандартов. Для обработки и хранения общедоступной информации классифицирующие требования не определены, поэтому решение по выбору класса защищенности применяемых средств может приниматься руководством предприятия. Указанные в таблице некоторые классы, например, 7 для СВТ или D0 для TCSEC, обычно классифицируют системы прошедшие оценку, но не соответствующие требованиям более высоких классов. Руководство предприятия вправе выбрать к применению средства защиты и более высокого класса, если считает, что сопровождающие такое решения дополнительные затраты оправданы. Так, например, для коммерческого применения рекомендуется ОУД4.



 


Дата добавления: 2015-04-18; просмотров: 18; Нарушение авторских прав







lektsii.com - Лекции.Ком - 2014-2021 год. (0.009 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав
Главная страница Случайная страница Контакты