Статья 31. Межведомственный и ведомственный контроль
Межведомственный контроль за обеспечением защиты государственной тайны в органах государственной власти, на предприятиях, в учреждениях и организациях осуществляют органы федеральной исполнительной власти (Федеральная служба безопасности Российской Федерации, Министерство обороны Российской Федерации, Федеральное агентство правительственной связи и информации при Президенте Российской Федерации), Служба внешней разведки Российской Федерации, Государственная техническая комиссия при Президенте Российской Федерации и их органы на местах, на которые эта функция возложена законодательством Российской Федерации.
Органы государственной власти, наделенные в соответствии с настоящим Законом полномочиями по распоряжению сведениями, составляющими государственную тайну, обязаны контролировать эффективность защиты этих сведений во всех подчиненных и подведомственных им органах государственной власти, на предприятиях, в учреждениях и организациях, осуществляющих работу с ними.
Федеральным законом от 6 октября 1997 г. N 131-ФЗ часть третья статьи 31 настоящего Закона изложена в новой редакции. См. текст части третьей в предыдущей редакции.
Контроль за обеспечением защиты государственной тайны в Администрации Президента Российской Федерации, в аппаратах палат Федерального Собрания, Правительства Российской Федерации организуется их руководителями.
Контроль за обеспечением защиты государственной тайны в судебных органах и органах прокуратуры организуется руководителями этих органов.
Статья 32. Прокурорский надзор
Надзор за соблюдением законодательства при обеспечении защиты государственной тайны и законностью принимаемых при этом решений осуществляют Генеральный прокурор Российской Федерации и подчиненные ему прокуроры.
Доступ лиц, осуществляющих прокурорский надзор, к сведениям, составляющим государственную тайну, осуществляется в соответствии со статьей 25 настоящего Закона.
Президент Российской Федерации Б.Ельцин
Москва, Дом Советов России
21 июля 1993 года № 5485-1
Приложение 6
П-06. Защита от несанкционированного доступа к информации. Термины и определения
ГОСТЕХКОМИССИЯ РОССИИ
Руководящий документ
ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ.
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Настоящий руководящий документ устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.
Установленные термины обязательны для применения во всех видах документации.
Для каждого понятия установлен один термин. Применение синонимов термина не допускается.
Для отдельных терминов даны (в скобках) краткие формы, которые разрешается применять в случаях, исключающих возможность их различного толкования.
Для справок приведены иностранные эквиваленты русских терминов на английском языке, а также алфавитные указатели терминов на русском и английском языках.
1. Термины и определения
| Термин | Определение |
| 1. Доступ к информации (Доступ) Access to information | Ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации |
| 2. Правила разграничения доступа (ПРД) Security policy | Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа |
| 3. Санкционированный доступ к информации Authorized access to information | Доступ к информации, не нарушающий правила разграничения доступа |
| 4. Несанкционированный доступ к информации (НСД) Unauthorized access to information | Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами Примечание. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем |
| 5. Защита от несанкционированного доступа (Защита от НСД) Protection from unauthorized Access | Предотвращение или существенное затруднение несанкционированного доступа |
| 6. Субъект доступа (Субъект) Access subject | Лицо или процесс, действия которого регламентируются правилами разграничения доступа |
| 7. Объект доступа (Объект) ] Access object | Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа |
| ] 8. Матрица доступа Access matrix | Таблица, отображающая правила разграничения доступа |
| 9. Уровень полномочий субъекта доступа Subject privilege | Совокупность прав доступа субъекта доступа |
| 10. Нарушитель правил разграничения доступа (Нарушитель ПРД) Security policy violator | Субъект доступа, осуществляющий несанкционированный доступ к информации |
| 11. Модель нарушителя правил разграничения доступа (Модель нарушителя ПРД) Security policy violator's model | Абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа |
| 12. Комплекс средств зашиты (КСЗ) Trusted computing base | Совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации |
| 13. Система разграничения доступа (СРД) Security policy realization | Совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах |
| 14. Идентификатор доступа Access identifier | Уникальный признак субъекта или объекта доступа |
Продолжение таблицы
| Термин | Определение |
| 15. Идентификация Identification | Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов |
| 16. Пароль Password | Идентификатор субъекта доступа, который является его (субъекта) секретом |
| 17. Аутентификация Authentication | Проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности |
| 18. Защищенное средство вычислительной техники (защищенная автоматизированная система) Trusted computer system | Средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты |
| 19. Средство защиты от несанкционированного доступа (Средство защиты от НСД) Protection facility | Программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа |
| 20. Модель защиты Protection model | Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа |
| 21. Безопасность информации Information se-curity | Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз |
| 22. Целостность информации Information in-tegrity | Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения) |
| 23. Конфиденциальная информация Sensitive information | Информация, требующая защиты |
| 24. Дискреционное управление доступом Dis-cretionary access control | Разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту |
| 25. Мандатное управление доступом Mandatory access control | Разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности |
| 26. Многоуровневая защита Multilevel security | Защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности |
| 27. Концепция диспетчера доступа Reference monitor concept | Концепция управления доступом, относящаяся к абстрактной машине, которая посредничает при всех обращениях субъектов к объектам |
| 28. Диспетчер доступа (ядро защиты) Security kernel | Технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа |
| 29. Администратор защиты Security administ-rator | Субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации |
| 30. Метка конфиденциальности (Метка) Sen-sitivity label | Элемент информации, который характеризует конфиденциальность информации, содержащейся в объекте |
| 31. Верификация Verification1 | Процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем на надлежащее соответствие |
| 32. Класс защищенности средств вычислительной техники, автоматизированной системы Protection class of computer systems | Определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации |
| 33. Показатель защищенности средств вычислительной техники (Показатель защищенности) Protection criterion of computer systems | Характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности средств вычислительной техники |
Продолжение таблицы
| Термин | Определение |
| 34. Система защиты секретной информации (СЗСИ) Secret information security system | Комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в автоматизированных системах |
| 35. Система защиты информации от несанкционированного доступа (СЗИ НСД) System of protection from unauthorized access to information | Комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах |
| 36. Средство криптографической зашиты информации (СКЗИ) Cryptographic information protection facility | Средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности |
| 37. Сертификат зашиты (Сертификат) Protection certificate | Документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных |
| 38. Сертификация уровня защиты (Сертификация) Protection level certification | Процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите |
2. Алфавитный указатель терминов на русском языке № страницы
Администратор защиты 29
Аутентификация 17
Безопасность информации 21
Верификация 31
Дискреционное управление доступом 24
Диспетчер доступа (ядро защиты) 28
Доступ к информации 1
Защита от несанкционированного доступа 5
Защищенное средство вычислительной техники (защищенная автоматизированная система) 18
Идентификатор доступа 14
Идентификация 15
Класс защищенности средств вычислительной техники автоматизированной системы 32
Комплекс средств защиты 12
Конфиденциальная информация 23
Концепция диспетчера доступа 27
Мандатное управление доступом 25
Матрица доступа 8
Метка конфиденциальности 30
Многоуровневая защита 26
Модель защиты 20
Модель нарушителя правил разграничения доступа 11
Нарушитель правил .разграничения доступа 10
Несанкционированный доступ к информации 4
Объект доступа 7
Пароль 16
Показатель защищенности средств вычислительной техники 33
Правила разграничения доступа 2
Санкционированный доступ к информации 3
Сертификат защиты 37
Сертификация уровня защиты 38
Система защиты информации от несанкционированного доступа 35
Система защиты секретной информации 34
Система разграничения доступа 13
Средство защиты от несанкционированного доступа 19
Средство криптографической защиты информации 36
Субъект доступа 6
Уровень полномочий субъекта доступа 9
Целостность информации 22
3. Алфавитный указатель терминов на английском языке № страницы
Access identifier 4
Access matrix 8
Access object 7
Access subject 6
Access to information 1
Authorized access to information 3
Authentication 17
Cryptographic information protection facility 36
Discretionary access control 24
Identification 15
Information integrity 22
Information security 21
Mandatory access control 25
Multilevel secureity 26
Password 16
Protection certificate 37
Protection class of computer systems 32
Protection criterion of computer systems 33
Protection facility 19
Protection from unauthorized access - 5
Protection level certification 38
Protection model 20
Reference monitor concept 27
Secret information security system 34
Security administrator 29
Security kernel 28
Security policy 2
Security policy realization 13
Security policy violator : 10
Security policy violator's model 11
Sensitive information 23
Sensitivity label 30
Subject privilege 9
System of protection from unauthorized access to information 35
Trusted computing base 12
Trusted computer system 18
Unauthorized access to information 4
Verification 31
Приложение 7