Руководящие документы Гостехкомиссии РФ. Состав. Основные положения.

В 1992 г. Госгехкомиссия (ГТК) при Президенте Российской Федерации разработала и опубликовала пять руководящих документов, посвя­щенных вопросам защиты информации в автоматизированных системах ее обработки. Основой этих документов является концепция защиты средств вычислительной техники (СВТ) и АС от несанкционированного доступа к информации, содержащая систему взглядов ГТК на проблему информационной безопасности и основные принципы защиты компьютер­ных систем. С точки зрения разработчиков данных документов, основная задача средств безопасности - это обеспечение защиты от несанкциони­рованного доступа к информации. Определенный уклон в сторону под­держания секретности информации объясняется тем, что данные доку­менты были разработаны в расчете на применение в информационных системах силовых структур РФ.

Структура требований безопасности

Руководящие документы ГТК состоят из пяти частей:

1. Защита от несанкционированного доступа к информации. Термины и определения.

2. Концепция защиты СВТ и АС от НСД к информации.

3. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

4. Средства вычислительной техники. Защита от несанкционирован­ного доступа к информации. Показатели защищенности от НСД к инфор­мации.

5. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники.

Наибольший интерес представляют вторая, третья и четвертая части.

Во второй части излагается система взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от НСД. Руководящие документы ГТК предлагают две группы требований к безопасности - показатели защищенности СВТ от НСД и критерии защищенности АС обработки данных. Первая группа позволяет оценить степень за­щищенности отдельно поставляемых потребителю компонентов АС и рас­сматривается в четвертой части, а вторая рассчитана на более сложные комплексы, включающие несколько единиц СВТ, и представлена в третьей части руководящих документов. Рассмотрим подробно содержание второй части.

Основные положения концепции защиты СВТ и АС от НСД к информации

Концепция предназначена для заказчиков, разработчиков и пользователей СВТ и АС, используемых для обработки, хранения и передачи требующей защиты информации. Она является методологической базой нормативно-технических и методических документов, направленных на решение следующих задач: • выработка требований по защите СВТ и АС от НСД к информации;

• создание защищенных СВТ и АС, т. е. защищенных от НСД к информа­ции;

• сертификация защищенных СВТ и АС.

Как уже было сказано выше, концепция предусматривает существование двух относительно самостоятельных направлений в проблеме за­щиты информации от НСД: направления, связанного с СВТ, и направле­ния, связанного с АС. Различие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации. В случае СВТ можно говорить лишь о защищенности (защи­те) СВТ от НСД к информации, для обработки, хранения и передачи кото­рой СВТ предназначено. Примером СВТ можно считать специализирован­ную плату расширения с соответствующим аппаратным и программным интерфейсом, реализующую функции аутентификации пользователя по его биометрическим характеристикам. Или к СВТ можно отнести програм­му прозрачного шифрования данных, сохраняемых на жестком диске.

При создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель наруши­теля, технология обработки информации. Типичным примером АС являет­ся многопользовательская, многозадачная ОС.

Для определения принципов защиты информации в руководящих документах ГТК дается понятие НСД к информации: НСД - доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС. В данном определении под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.