Требования к безопасности информационных систем в России
Требования к безопасности информационных систем (ИС) изложены в «Классификации автоматизированных систем и требований по защите информации» 1992 г.
Классы защишенности автоматизированных систем от несанкционированного доступа к информации разделены на 3 группы:
- I-я группа – многопользовательские системы, которые могут одновременно обрабатывать и хранить информацию разных уровней конфиденциальности с различными правами пользователей на доступ к информации. К этой группе относится 5 классов: 1А, 1Б, 1В, 1Г и 1Д.
- II-я группа – системы, в которых работает несколько пользователей с одинаковыми правами доступа ко всей информации, которая обрабатывается и хранится на носителях разного уровня конфиденциальности. К этой группе относится 2 класса: 2А и 2Б.
- III-я группа – системы, в которых работает один пользователь с абсолютными правами на всю информацию, которая размещена на носителях одного уровня конфиденциальности. К этой группе отнесится 2 класса: 3А и ЗБ.
Самые высокие требования к классу 1А, а самые низкие – к зклассу ЗБ.
Выделяют 4 подсистемы защиты:
- управление доступом;
- регистрация и учет;
- криптографическое закрытие;
- обеспечение целостности.
Наличие методик защиты информации и их поддержка официальными документами составляет достаточно надежную базу защиты информации на регулярной основе. Однако в сегодняшней ситуации защита информации не может быть эффективной по ряду причин:
- имеющиеся методики ориентированы на защиту информации только в средствах компьютерных систем, не смотря на устойчивую тенденцию органического сращивания автоматизированных и традиционных технологий обработки информации;
- учтены далеко не все факторы, которые оказывают существенное влияние на уязвимость информации, и поэтому и подлежат учету при определении требований к защите;
- в научном плане имеющиеся методики недостаточно обоснованы, исключая требования к защите информации от утечки по техническим каналам.
Классы защищенности средств компьютерных систем от несанкционированного доступа
Показатели защищенности, установленные руководящими документами Гостехкомиссии, содержат требования по защите средств компьютерных систем (СКС) от несанкционированного доступа к информации.
Совокупность требований описывают классы защищенности СКС, которые делятся на 4 группы:
- I-я группа содержит единственный седьмой класс – класс минимальной защищенности.
- II-я группа содержит 5-й и 6-й классы – классы избирательной защиты, которая предусматривает контроль доступа определенных субъектов к определенным объектам системы. При этом для каждой соответствующей пары «субъект – объект» определяются разрешенные типы доступа.
- III-я группа содержит 2, 3 и 4 классы – полномочная защита, при которой каждому субъекту и объекту системы присваиваются классификационные метки, указывающие их место в соответствующей иерархии. Решение о санкционированности запроса на доступ принимается лишь при одновременном разрешении его избирательными и полномочными правилами разграничения доступа.
- IV-я группа включает только 1-й класс – верифицированная защита.
Чтобы присвоить класс защищенности у системы должно быть:
- руководство администратора и пользователя;
- тестовая и конструкторская документация.
Таблица 1
Показатели защищенности СКС от несанкционированного доступа:
- Розовой заливкой ячейки обозначено отсутствие требований к данному классу;
- зеленой – новые или дополнительные требования;
- голубой – требования совпадают с требованиями к СКС предыдущего класса.
Факторы, которые влияют на необходимый уровень защиты информации
Рассмотрим классификацию факторов, которые влияют на уровни защиты информации.
Факторы классифицируются по 5 признакам:
