Согласно руководящему документу ФСТЭК: «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» все действующие и проектируемые автоматизированные системы (АС) учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию подлежат классификации. В статье ниже описана классификация АС и требования к ним по защите информации.
Используемые сокращения
АС — автоматизированные системы
НСД — несанкционированный доступ
ПД — персональные данные
УЗ — уровень защищенности
РД — руководящий документ
СЗИ — система защиты информации
СЗИ НСД — система защиты информации от несанкционированного доступа
Деление АС на соответствующие классы по условиям их функционирования, необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации. Классификация определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.
Группировка может выполняться по следующющим признакам:
- наличие в АС информации различного уровня конфиденциальности;
- уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
- режим обработки данных в АС — коллективный или индивидуальный.
Исходя из требований к группировке выделяют девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС:
- Первая группа — многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов — 1Д, 1Г, 1В, 1Б и 1А.
- Вторая группа— многопользовательские АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.
- Третья группа— однопользовательские АС, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — 3Б и 3А.
Комплекс технических и организационных решений по защите информации от НСД условно состоит из следующих четырех подсистем:
- управления доступом;
- регистрации и учета;
- криптографической;
- обеспечения целостности.
В зависимости от класса АС в рамках этих подсистем должны быть реализованы требования в соответствии с таблицей ниже:
Обозначения:
» — » — нет требований к данному классу;
» + » — есть требования к данному классу.
Также, в соответствии с документом РД «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», для обработки или хранения информации, являющейся собственностью государства и отнесенной к категории секретной, необходимо ориентироваться в соответствии на классы защищенности АС не ниже 3А, 2А, 1А, 1Б, 1В и использовать сертифицированные СВТ:
- не ниже 4 класса — для класса защищенности АС 1В;
- не ниже 3 класса — для класса защищенности АС 1Б;
- не ниже 2 класса — для класса защищенности АС 1А.
Однако владелец информации вправе устанавливать более жесткие требования к ее защите.
Видео:Руководящий документ. Автоматизированные системы. Классификация АС и требования по ЗИ (РД АС)Скачать
Классов ас подлежащих защите от нсд
Основные положения РД Гостехкомисии России «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации».
Руководящий документ устанавливает классификацию АС, подлежащих защите от НСД к информации, и задаёт требования по защите информации в автоматизированных системах различных классов.
В соответствии с документом, классификация АС включает следующие этапы:
1. Разработка и анализ исходных данных.
2. Выявление основных признаков АС, необходимых для классификации.
3. Сравнение выявленных признаков АС с классифицируемыми.
4. Присвоение АС соответствующего класса защиты информации от НСД.
Исходными данными для классификации АС являются:
1. Перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности.
2. Перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий.
3. Матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС.
4. Режим обработки данных в АС.
Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации. Устанавливаются 9 классов защищённости АС от
НСД к информации, каждый класс характеризуется определённой минимальной совокупностью требований по защите. Классы подразделяются на 3 группы:
— III группа – классы 3Б и 3А
Классы соответствуют автоматизированным системам, в которых работает один пользователь, допущенный ко всей информации в АС, размещённой на носителях одного уровня конфиденциальности.
— II группа – классы 2Б и 2А
Классы данной группы соответствуют автоматизированным системам, в которых пользователи имеют одинаковые права доступа ко всей информации в АС, обрабатываемой или хранимой на носителях различного уровня конфиденциальности.
— I группа – классы 1Д, 1Г, 1В, 1Б и 1А
В соответствующих автоматизированных системах одновременно обрабатывается или хранится информация разных уровней конфиденциальности. Не все пользователи имеют доступ ко всей информации в АС.
Для каждого из классов фиксируется набор требований, составленный из следующего общего списка:
[Спрашивать про содержание классов не должны, но вдруг…]
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
— к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;
— к томам, каталогам, файлам, записям, полям записей.
1.2. Управление потоками информации
2. Подсистема регистрации и учёта
2.1. Регистрация и учёт:
— входа (выхода) субъектов доступа в (из) систему (узел сети);
— выдачи печатных (графических) выходных документов;
— запуска (завершения) программ и процессов;
— доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи;
— доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;
— изменения полномочий субъектов доступа;
— создаваемых защищаемых объектов доступа.
2.2. Учёт носителей информации.
2.3. Очистка освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.
2.4. Сигнализация попыток нарушения защиты.
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации.
3.2. Шифрование информации, принадлежащей различным субъектам доступа (или
группам субъектов), на различных ключах.
3.3. Использование аттестованных (сертифицированных) криптографических средств.
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации.
4.2. Физическая охрана СВТ и носителей информации.
4.3. Наличие администратора (службы) защиты информации в АС.
4.4. Периодическое тестирование средств защиты информации (СЗИ) от НСД.
4.5. Наличие средств восстановления СЗИ от НСД.
4.6. Использование сертифицированных средств защиты.
Проверка соответствия требованиям по защите информации от НСД для АС производится в рамках сертификационных или аттестационных испытаний.
Видео:Системы защиты информации от НСД. Основные функции. Схемы применения. Примеры (Зернова Анна)Скачать
Классы защиты информации
Стандарт ISO 15408 описывающий критерии оценки безопасности являлся новым этапом в реализации нормативной базы оценки безопасности ИТ. На основе этого стандарта каждое государство адаптировало его под свои реалии и тенденции.
Видео:Защита программ и данных: лекция 2 "Классификация автоматизированных систем"Скачать
Классы защищенности для средств вычислительной техники
Согласно нормативному документу «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» можно выделить семь классов защищенности средств вычислительной техники (СВТ) от НСД к информации. Самый высокий класс — первый, самый низкий — седьмой. Классы делятся на 4 группы которые отличаются между собой качественным уровнем безопасности:
- Четвертая группа — характеризуется верифицированной защитой и содержит только первый класс
- Третья группа характеризуется мандатной защитой и содержит 4,3 и 2 классы
- Вторая группа характеризуется дискреционной защитой и содержит 6 и 5 классы
- Первая группа имеет только 7 класс
В зависимости от грифа секретности информации в АС системе, расположение объектов и условий реализации выбирают определенной класс защищенности. В таблице 1 показан список показателей по классам защищенности СВТ. Обозначения:
- » — «: нет требования к классу
- » + «: новые или дополнительные требования
- » = «: требования совпадают с требованиями предыдущего класса
Название показателя | 6 | 5 | 4 | 3 | 2 | 1 |
---|---|---|---|---|---|---|
Дискреционный принцип контроля доступа | + | + | + | = | + | = |
Мандатный принцип контроля доступа | — | — | + | = | = | = |
Очистка памяти | — | + | + | + | = | = |
Изоляция модулей | — | — | + | = | + | = |
Маркировка документов | — | — | + | = | = | = |
Защита ввода и вывода на отчуждаемый физический носитель информации | — | — | + | = | = | = |
Сопоставление пользователя с устройством | — | — | + | = | = | = |
Идентификация и аутентификация | + | = | + | = | = | = |
Гарантии проектирования | — | + | + | + | + | + |
Регистрация | — | + | + | + | = | = |
Взаимодействие пользователя с КСЗ | — | — | — | + | = | = |
Надежное восстановление | — | — | — | + | = | = |
Целостность КСЗ | — | + | + | + | = | = |
Контроль модификации | — | — | — | — | + | = |
Контроль дистрибуции | — | — | — | — | + | = |
Гарантии архитектуры | — | — | — | — | — | + |
Тестирование | + | + | + | + | + | = |
Руководство для пользователя | + | = | = | = | = | = |
Руководство по КСЗ | + | + | = | + | + | = |
Тестовая документация | + | + | + | + | + | = |
Конструкторская (проектная) документация | + | + | + | + | + | + |
Указанные наборы требований к показателям для каждого класса являются минимально нужными. Седьмой класс присваивают к тем СВТ, к которым требования по защите информации от НСД являются ниже уровней шестого класса.
Видео:Способы защиты информации от НСД - часть 1Скачать
Классы защищенности для автоматизированных систем
Автоматизированные системы
Нормативной базой является документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. Классификация автоматизированных систем и требования по защите информации». Дифференция подхода к определению средств и методов защиты основывается на обрабатываемой информации, составу АС, структуре АС, качественному и количественному составу пользователей и обслуживающего персонала. Главными этапами классификации АС являются:
- Создания и анализ исходных данных
- поиск основных признаков АС, нужных для классификации
- анализ выявленных признаков
- присвоение АС определенного класса защиты
К основным параметрам определения класса защищенности АС относятся:
- уровень конфиденциальности информации в АС
- уровень полномочий субъектов доступа АС к конфиденциальной информации
- режим обработки информации в АС ( коллективный или индивидуальный)
Выделяют девять классов защищенности АС от НСД к информации. Каждый класс имеет минимальный набор требования по защите. Классы можно кластеризовать на 3 группы. Каждая группа имеет свою иерархию классов.
- Третья группа — определяет работу одного пользователя допущенного ко всем данным АС, размещенной на носителях одного уровня конфиденциальности. Группа имеет два класса — 3Б и 3А
- Вторая группа — определяет работу пользователей, которые имеют одинаковые права доступа ко всем данным АС, хранимой и (или) обрабатываемой на носителях разного уровня конфиденциальности. Группа имеет два класса — 2Б и 2А
- Первая группа — определяет многопользовательские АС, где одновременно хранится и (или) обрабатываются данные разных уровней конфиденциальности и не все пользователи имеют доступ к ней. Группа имеет пять классов 0 1Д, 1Г, 1В, 1Б, 1А
Требования к АС по защите информации от НСД
Мероприятия по ЗИ от НСД нужно реализовывать вместе с мероприятиями по специальной защите средств вычислительной техники (СВТ) и систем связи от технических методов разведки и промышленного шпионажа.
Обозначения к таблицам:
- » — «: нет требования к текущему классу
- » + «: есть требования к текущему классу
🎬 Видео
Защита информации от несанкционированного доступа в «1С:БГУ 8»Скачать
Защита программ и данных: лекция 1 "Защита от НСД к информации. Термины и определения"Скачать
УТЕЧКА ИНФОРМАЦИИ I ЛЕКЦИЯ от специалистов STT GROUPСкачать
Защита от несанкционированного доступаСкачать
Классификация СИЗСкачать
Защита информации АСУСкачать
Способы защиты информации от НСД - часть 2Скачать
Информационная безопасность. Основы информационной безопасности.Скачать
Использование (применение) средств индивидуальной защитыСкачать
Разбор приказа ФСТЭК 21. Реализация организационных и технических мер по защите персональных данныхСкачать
Требования по защите информации в соответствии с приказом ФСБСкачать
Техническая защита информацииСкачать
Защита информации. Основы информационной безопасности.Скачать