Студопедия

КАТЕГОРИИ:

АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника


Основные элементы политики безопасности




Согласно "Оранжевой книге", политика безопасности должна включать в себя по крайней мере следующие элементы:

  • произвольное управление доступом - это метод ограничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо (обычно владелец объекта) может по своему усмотрению давать другим субъектам или отбирать у них права доступа к объекту;
  • безопасность повторного использования объектов - Безопасность повторного использования объектов - важное на практике дополнение средств управления доступом, предохраняющее от случайного или преднамеренного извлечения секретной информации из "мусора". Безопасность повторного использования должна гарантироваться для областей оперативной памяти, в частности для буферов с образами экрана, расшифрованными паролями и т.п., для дисковых блоков и магнитных носителей в целом.;
  • метки безопасности- Для реализации принудительного управления доступом с субъектами и объектами используются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта - степень закрытости содержащейся в нем информации.;
  • принудительное управление доступом - Принудительное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта. В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен - читать можно только то, что положено.

 

Организационно-техническое обеспечение деятельности Межведомственной комиссии возложено на центральный аппарат Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России).

Гостехкомиссия России является одним из основных органов, решающих проблемы защиты информации в Российской Федерации.

Разработкой руководящих документов в области защиты информации в России занимается специальное подразделение – Гостехкомиссия России при Президенте РФ. Все разработанные этой организацией документы обязательны для исполнения только в государственном секторе. Для коммерческих структур они носят рекомендательно-консультативный характер.
Ниже приводятся основные Руководящие документы Гостехкомиссии России.

Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа (НСД) к информации
В этом документе излагается система взглядов, основных принципов, которые закладываются в основу проблемы защиты информации от несанкционированного доступа (НСД), являющейся частью общей проблемы безопасности информации. Содержанием документа является определение НСД, основные принципы защиты от НСД, модель нарушителя в автоматизированной системе, основные способы НСД, направления обеспечения защиты от НСД, основные характеристики технических средств защиты от НСД, классификация АС и организация работ по защите информации от НСД.

Защита от несанкционированного доступа. Термины и определения
Этот документ устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Установленные термины обязательны для применения во всех видах документации. Для каждого понятия установлен один термин. Применение терминов-синонимов не допускается. В качестве справочных приведены иностранные эквиваленты русских терминов на английском языке.

Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации
Этот руководящий документ устанавливает классификацию средств вычислительной техники (СВТ) по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований.

Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификацию автоматизированных систем и требования по защите информации
Документ устанавливает классификацию автоматизированных систем (АС), подлежащих защите от НСД к информации, и требования по защите информации в АС различных классов. Руководящий документ разработан в дополнение ГОСТ 34.003-90, ГОСТ 34.601-90, РД 50-680-88, РД 50-34 680-90 и других документов. Документ может использоваться как нормативно-методический материал для заказчиков и разработчиков АС при формулировании и реализации требований по защите.

Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники
Настоящее положение устанавливает единый на территории Российской Федерации порядок исследований и разработок в области:

· защиты информации, обрабатываемой автоматизированными системами различного уровня и назначения, от НСД;

· создания средств вычислительной техники общего и специального назначения, защищенных от утечки, искажения или уничтожения информации за счет НСД, в том числе программных и технических средств защиты информации от НСД;

· создания программных и технических средств защиты информации от НСД в составе систем защиты секретной информации в создаваемых АС.

Положение определяет:

· организационную структуру и порядок проведения работ по защите информации от НСД и взаимодействия при этом на государственном уровне;

· систему государственных нормативных актов, стандартов, руководящих документов и требований по этой проблеме;

· порядок разработки и приемки защищенных СВТ, в том числе программных и технических (в частности, криптографических) средств и систем защиты информации от НСД;

· порядок приемки указанных средств и систем перед сдачей в эксплуатацию в составе АС, порядок их эксплуатации и контроля за работоспособностью этих средств и систем в процессе эксплуатации.

Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации
Настоящий руководящий документ устанавливает классификацию межсетевых экранов (МЭ) по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Руководящий документ разработан в дополнение к Руководящим документам Гостехкомиссии России “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации“ и “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификацию автоматизированных систем и требования по защите информации ”.

Защита информации. Специальные защитные знаки. Классификация и общие требования
Настоящий руководящий документ устанавливает классификацию по классам защиты специальных защитных знаков, предназначенных для контроля доступа к объектам защиты, а также для защиты документов от подделки. Документ является руководством для заказчиков специальных защитных знаков и испытательных лабораторий, проводящих сертификационные испытания в Системе сертификации средств защиты по требованиям безопасности информации.

Защита от несанкционированного доступа к информации
Настоящий документ устанавливает классификацию программного обеспечения (как отечественного, так и импортного производства) средств защиты информации, в том числе и встроенных в общесистемное и прикладное ПО, по уровню контроля отсутствия в нем недекларированных возможностей. Действие документа не распространяется на программное обеспечение средств криптографической защиты информации.
Кроме перечисленных разработана еще целая группа документов, посвященных вопросам лицензирования и сертификации средств защиты информации.

Положение о государственном лицензировании деятельности в области защиты информации
Документ устанавливает основные принципы, организационную структуру системы лицензирования деятельности предприятий в сфере оказания услуг в области защиты информации, а также правила осуществления лицензирования и надзора за деятельностью предприятий, получивших лицензию.

Положение о сертификации средств защиты информации
Настоящее Положение устанавливает порядок сертификации средств защиты информации, составляющей государственную тайну, в Российской Федерации.
В развитие этого положения разработан целый ряд дополнительных, таких как, Положение о сертификации средств защиты информации по требованиям безопасности информации, Положение по аттестации объектов информатики по требованиям безопасности информации, Положение об аккредитации испытательных лабораторий экспертных комитетов по сертификации средств защиты информации по требованиям безопасности информациии ряд других.
Задача каждого, кто каким-то образом “причастен” к решению проблем обеспечения безопасности информации, знать Руководящие документы Гостехкомиссии, выполнять их требования и следить за появлением новых.

 


Поделиться:

Дата добавления: 2015-09-13; просмотров: 156; Мы поможем в написании вашей работы!; Нарушение авторских прав





lektsii.com - Лекции.Ком - 2014-2024 год. (0.005 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав
Главная страница Случайная страница Контакты