Раздел 1. Информационная безопасность и уровни ее обеспечения
Раздел 1. Информационная безопасность и уровни ее обеспечения
Цели изучения раздела
· усвоение знаний по нормативно-правовым основам организации информационной безопасности, изучение стандартов и руководящих документов по защите информационных систем;
· ознакомление с основными угрозами информационной безопасности;
· правилами их выявления, анализа и определение требований к различным уровням обеспечения информационной безопасности;
· формирование научного мировоззрения, навыков индивидуальной самостоятельной работы с учебным материалом.
В результате изучения раздела студент должен
· знать
o различные подходы к определению понятия "информационная безопасность",
o составляющие понятия "информационная безопасность",
o определение целостности, конфиденциальности и доступности информации,
o задачи информационной безопасности,
o уровни формирования режима информационной безопасности,
o особенности законодательно-правового и административного уровней,
o основное содержание оценочного стандарта ISO/IEC 15408,
o основное содержание стандартов по информационной безопасности распределенных систем,
o основные сервисы безопасности в вычислительных сетях,
o наиболее эффективные механизмы безопасности,
o цели и задачи административного уровня обеспечения информационной безопасности,
o содержание административного уровня,
o классы угроз информационной безопасности,
o причины и источники случайных воздействий на информационные системы,
o каналы несанкционированного доступа к информации,
o основные угрозы доступности, целостности и конфиденциальности информации;
· уметь
o объяснить, в чем заключается проблема информационной безопасности,
o объяснить, почему целостность, доступность и конфиденциальность являются главными составляющими информационной безопасности,
o использовать стандарты для оценки защищенности информационных систем,
o выбирать механизмы безопасности для защиты распределенных вычислительных сетей,
o определять классы защищенных систем по совокупности мер защиты,
o выявлять и классифицировать угрозы информационной безопасности,
o анализировать угрозы информационной безопасности.
Структурная схема терминов раздела 1
Тема 1.1. Понятие "информационная безопасность"
Введение
Цели изучения темы
· ознакомиться с основными подходами к определению понятия "информационная безопасность".
Требования к знаниям и умениям
Студент должен знать:
· различные подходы к определению понятия "информационная безопасность";
· отличие "компьютерной безопасности" от "информационной безопасности";
· определения "информационной безопасности" приводимые в руководящих документах.
Студент должен уметь:
· объяснить сущность проблемы "информационной безопасности".
Ключевой термин
Ключевой термин: информационная безопасность.
Информационная безопасность – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации.
Второстепенные термины
· нарушитель информационной безопасности;
· защита информации.
Структурная схема терминов
Выводы по теме
1. Проблема информационной безопасности обусловлена возрастающей ролью информации в общественной жизни. Современное общество все более приобретает черты информационного общества. Информационная безопасность является одной из проблем, с которой столкнулось современное общество в процессе массового использования автоматизированных средств ее обработки.
2. Информационная безопасность – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации.
3. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации – это принципиально более широкое понятие.
4. Задачи по обеспечению информационной безопасности для разных категорий субъектов могут существенно различаться.
5. Под защитой информации понимается комплекс мероприятий, направленных на обеспечение информационной безопасности.
6. Защита информации (ГОСТ 350922-96) – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Вопросы для самоконтроля
1. В чем заключается проблема информационной безопасности?
2. Дайте определение понятию "информационная безопасность".
3. Какие определения информационной безопасности приводятся в "Концепции информационной безопасности сетей связи общего пользования Российской Федерации"?
4. Что понимается под "компьютерной безопасностью"?
Введение
Цели изучения темы
· изучить составляющие информационной безопасности и их характеристику.
Требования к знаниям и умениям
Студент должен знать:
· составляющие понятия "информационная безопасность";
· определение целостности информации;
· определения конфиденциальности и доступности информации.
Студент должен уметь:
· объяснить, почему целостность, доступность и конфиденциальность являются главными составляющими информационной безопасности.
Ключевой термин
Ключевой термин: содержанием информационной безопасности.
Содержанием информационной безопасности являются целостность, доступность и конфиденциальность информации.
Второстепенные термины
· доступность информации;
· целостность информации;
· конфиденциальность информации.
Структурная схема терминов
Доступность информации
Как уже отмечено в предыдущей теме, информационная безопасность – многогранная область деятельности, в которой успех может принести только систематический, комплексный подход.
Обеспечение информационной безопасности в большинстве случаев связано с комплексным решением трех задач:
1. Обеспечением доступности информации.
2. Обеспечением целостности информации.
3. Обеспечением конфиденциальности информации.
Именно доступность, целостность и конфиденциальность являются равнозначными составляющими информационной безопасности.
Информационные системы создаются для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, то это, очевидно, наносит ущерб всем пользователям.
Роль доступности информации особенно проявляется в разного рода системах управления – производством, транспортом и т. п. Менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей, например, продажа железнодорожных и авиабилетов, банковские услуги, доступ в информационную сеть Интернет и т. п.
Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.
Фактор времени в определении доступности информации в ряде случаев является очень важным, поскольку некоторые виды информации и информационных услуг имеют смысл только в определенный промежуток времени. Например, получение заранее заказанного билета на самолет после его вылета теряет всякий смысл. Точно так же получение прогноза погоды на вчерашний день не имеет никакого смысла, поскольку это событие уже наступило. В этом контексте весьма уместной является поговорка: "Дорога ложка к обеду".
Целостность информации
Целостность информации условно подразделяется на статическую и динамическую. Статическая целостность информации предполагает неизменность информационных объектов от их исходного состояния, определяемого автором или источником информации. Динамическая целостность информации включает вопросы корректного выполнения сложных действий с информационными потоками, например, анализ потока сообщений для выявления некорректных, контроль правильности передачи сообщений, подтверждение отдельных сообщений и др.
Целостность является важнейшим аспектом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, например техническими, социальными и т. д.
Так, ошибка в управляющей программе приведет к остановке управляемой системы, неправильная трактовка закона может привести к его нарушениям, точно также неточный перевод инструкции по применению лекарственного препарата может нанести вред здоровью. Все эти примеры иллюстрируют нарушение целостности информации, что может привести к катастрофическим последствиям. Именно поэтому целостность информации выделяется в качестве одной из базовых составляющих информационной безопасности.
Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений.
Рисунок 1.2.1. Составляющие информационной безопасности
Как уже отмечалось, выделение этих категорий в качестве базовых составляющих информационной безопасности обусловлено необходимостью реализации комплексного подхода при обеспечении режима информационной безопасности. Кроме этого, нарушение одной из этих категорий может привести к нарушению или полной бесполезности двух других. Например, хищение пароля для доступа к компьютеру (нарушение конфиденциальности) может привести к его блокировке, уничтожению данных (нарушение доступности информации) или фальсификации информации, содержащейся в памяти компьютера (нарушение целостности информации).
Выводы по теме
1. Обеспечение информационной безопасности в большинстве случаев связано с комплексным решением трех задач:
· обеспечением доступности информации;
· обеспечением целостности информации;
· обеспечением конфиденциальности информации.
2. Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.
3. Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений.
4. Конфиденциальность – гарантия доступности конкретной информации только тому кругу лиц, для которого она предназначена.
Вопросы для самоконтроля
1. Перечислите составляющие информационной безопасности.
2. Приведите определение доступности информации.
3. Приведите определение целостности информации.
4. Приведите определение конфиденциальности информации.
5. Каким образом взаимосвязаны между собой составляющие информационной безопасности? Приведите собственные примеры.
Введение
Цели изучения темы
· изучить уровни формирования режима информационной безопасности;
· получить представление о системном подходе, обеспечивающем информационную безопасность.
Требования к знаниям и умениям
Студент должен знать:
· задачи информационной безопасности;
· уровни формирования режима информационной безопасности;
· особенности законодательно-правового и административного уровней;
· подуровни программно-технического уровня.
Студент должен уметь:
· распределять задачи информационной безопасности по уровням ее обеспечения.
Ключевой термин
Ключевой термин: система формирования режима информационной безопасности.
Система формирования режима информационной безопасности – многоуровневая система, обеспечивающая комплексную защиту информационных систем от вредных воздействий, наносящих ущерб субъектам информационных отношений.
Второстепенные термины
· законодательно-правовой уровень;
· административный уровень;
· программно-технический уровень.
Структурная схема терминов
Выводы по теме
1. Основные задачи информационной безопасности:
· защита государственной тайны, т. е. секретной и другой конфиденциальной информации, являющейся собственностью государства, от всех видов несанкционированного доступа, манипулирования и уничтожения;
· защита прав граждан на владение, распоряжение и управление принадлежащей им информации;
· защита конституционных прав граждан на тайну переписки, переговоров, личную тайну;
· защита технических и программных средств информатизации от ошибочных действий персонала и техногенных воздействий, а также стихийных бедствий;
· защита технических и программных средств информатизации от преднамеренных воздействий.
2. Режим информационной безопасности включает три уровня:
· законодательно-правовой;
· административный (организационный);
· программно-технический.
3. Законодательно-правовой уровень включает комплекс законодательных и иных правовых актов, устанавливающих правовой статус субъектов информационных отношений, субъектов и объектов защиты, методы, формы и способы защиты, их правовой статус.
4. Административный уровень включает комплекс взаимокоординируемых мероприятий и технических мер, реализующих практические механизмы защиты в процессе создания и эксплуатации систем защиты информации.
5. Программно-технический уровень включает три подуровня: физический, технический (аппаратный) и программный.
Вопросы для самоконтроля
1. Перечислите задачи информационной безопасности общества.
2. Перечислите уровни формирования режима информационной безопасности.
3. Дайте краткую характеристику законодательно-правового уровня.
4. Какие подуровни включает программно-технический уровень?
5. Что включает административный уровень?
6. В чем особенность морально-этического подуровня?
Введение
Цели изучения темы
· ознакомиться с нормативно-правовыми основами информационной безопасности в РФ, нормативными документами и ответственностью за нарушения информационной безопасности.
Требования к знаниям и умениям
Студент должен знать:
· нормативно-правовые основы информационной безопасности общества;
· основные положения важнейших законодательных актов РФ в области информационной безопасности и защиты информации;
· ответственность за нарушения в сфере информационной безопасности.
Студент должен уметь:
· квалифицировать нарушения в сфере информационной безопасности.
Ключевой термин
Ключевой термин: нормативно-правовые основы информационной безопасности в РФ.
Нормативно-правовые основы информационной безопасности в РФ – законодательные меры в сфере информационной безопасности, направлены на создание в стране законодательной базы, упорядочивающей и регламентирующей поведение субъектов и объектов информационных отношений, а также определяющей ответственность за нарушение установленных норм.
Второстепенные термины
· информационный ресурс;
· государственная и личная тайна;
· средства защиты информации.
Структурная схема терминов
Выводы по теме
1. Основополагающими документами по информационной безопасности в РФ являются Конституция РФ и Концепция национальной безопасности.
2. Законодательные меры в сфере информационной безопасности направлены на создание в стране законодательной базы, упорядочивающей и регламентирующей поведение субъектов и объектов информационных отношений, а также определяющей ответственность за нарушение установленных норм.
3. Закон РФ "Об информации, информатизации и защите информации" от 20 февраля 1995 года № 24-ФЗ является одним из основных базовых законов в области защиты информации, который регламентирует отношения, возникающие при формировании и использовании информационных ресурсов Российской Федерации на основе сбора, накопления, хранения, распространения и предоставления потребителям документированной информации, а также при создании и использовании информационных технологий, при защите информации и прав субъектов, участвующих в информационных процессах и информатизации.
4. Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
5. Система защиты государственной тайны – совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну и их носителей, а также мероприятий, проводимых в этих целях.
6. Немаловажная роль в системе правового регулирования информационных отношении отводится ответственности субъектов за нарушения в сфере информационной безопасности. Основными документами в этом направлении являются:
· Уголовный кодекс Российской Федерации;
· Кодекс Российской Федерации об административных правонарушениях.
Вопросы для самоконтроля
1. Перечислите основополагающие документы по информационной безопасности.
2. Понятие государственной тайны.
3. Что понимается под средствами защиты государственной тайны?
4. Основные задачи информационной безопасности в соответствии с Концепцией национальной безопасности РФ.
5. Какие категории государственных информационных ресурсов определены в Законе "Об информации, информатизации и защите информации"?
6. Какая ответственность в Уголовном кодексе РФ предусмотрена за создание, использование и распространение вредоносных программ для ЭВМ?
Введение
Цели изучения темы
· изучить основные положения международного стандарта ISO/IEC 15408 по оценке защищенности информационных систем.
Требования к знаниям и умениям
Студент должен знать:
· основное содержание оценочного стандарта ISO/IEC 15408;
· отличия функциональных требований от требований доверия;
· классы функциональных требований и требований доверия.
Студент должен уметь:
· использовать стандарт для оценки защищенности информационных систем.
Ключевой термин
Ключевой термин: стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий".
Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" (издан 1 декабря 1999 года) относится к оценочным стандартам. "Общие критерии" – метастандарт, определяющий инструменты оценки безопасности информационных систем и порядок их использования.
Второстепенные термины
· функциональные требования;
· требования доверия.
Структурная схема терминов
Требования безопасности к информационным системам
Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" (издан 1 декабря 1999 года) относится к оценочным стандартам. Этот международный стандарт стал итогом почти десятилетней работы специалистов нескольких стран. Он вобрал в себя опыт существовавших к тому времени документов национального и межнационального масштаба. Именно поэтому этот стандарт очень часто называют "Общими критериями".
"Общие критерии" являются метастандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования.
Как и "Оранжевая книга", "Общие критерии" содержат два основных вида требований безопасности:
· функциональные – соответствуют активному аспекту защиты – предъявляемые к функциям безопасности и реализующим их механизмам;
· требования доверия – соответствуют пассивному аспекту – предъявляемые к технологии и процессу разработки и эксплуатации.
В отличие от "Оранжевой книги", "Общие критерии" не содержат предопределенных "классов безопасности". Такие классы можно строить, исходя из требований безопасности, существующих для конкретной организации и/или конкретной информационной системы.
Очень важно, что безопасность в "Общих критериях" рассматривается не статично, а в привязке к жизненному циклу объекта оценки.
Угрозы безопасности в стандарте характеризуются следующими параметрами:
· источник угрозы;
· метод воздействия;
· уязвимые места, которые могут быть использованы;
· ресурсы (активы), которые могут пострадать.
Требования доверия
Вторая форма требований безопасности в "Общих критериях" – требования доверия безопасности.
Установление доверия безопасности основывается на активном исследовании объекта оценки.
Форма представления требований доверия, та же, что и для функциональных требований (класс – семейство – компонент).
Всего в "Общих критериях" 10 классов, 44 семейства, 93 компонента требований доверия безопасности.
Классы требований доверия безопасности:
1. Разработка (требования для поэтапной детализации функций безопасности от краткой спецификации до реализации).
2. Поддержка жизненного цикла (требования к модели жизненного цикла, включая порядок устранения недостатков и защиту среды разработки).
3. Тестирование.
4. Оценка уязвимостей (включая оценку стойкости функций безопасности).
5. Поставка и эксплуатация.
6. Управление конфигурацией.
7. Руководства (требования к эксплуатационной документации).
8. Поддержка доверия (для поддержки этапов жизненного цикла после сертификации).
9. Оценка профиля защиты.
10. Оценка задания по безопасности.
Применительно к требованиям доверия (для функциональных требований не предусмотрены) в "Общих критериях" введены оценочные уровни доверия (их семь), содержащие осмысленные комбинации компонентов.
Степень доверия возрастает от первого к седьмому уровню. Так, оценочный уровень доверия 1 (начальный) применяется, когда угрозы не рассматриваются как серьезные, а оценочный уровень 7 применяется к ситуациям чрезвычайно высокого риска.
Выводы по теме
1. Стандарт ISO/IEC 15408 "Критерии оценки безопасности информационных технологий" (издан 1 декабря 1999 года) относится к оценочным стандартам.
2. "Общие критерии" являются стандартом, определяющим инструменты оценки безопасности информационных систем и порядок их использования.
3. "Общие критерии" содержат два основных вида требований безопасности:
· функциональные – соответствуют активному аспекту защиты – предъявляемые к функциям безопасности и реализующим их механизмам;
· требования доверия – соответствуют пассивному аспекту – предъявляемые к технологии и процессу разработки и эксплуатации.
4. Угрозы безопасности в стандарте характеризуются следующими параметрами:
· источник угрозы;
· метод воздействия;
· уязвимые места, которые могут быть использованы;
· ресурсы (активы), которые могут пострадать.
5. Для структуризации пространства требований в "Общих критериях" введена иерархия класс – семейство – компонент – элемент.
6. Классы определяют наиболее общую, "предметную" группировку требований (например, функциональные требования подотчетности).
7. Семейства в пределах класса различаются по строгости и другим тонкостям требований.
8. Компонент – минимальный набор требований, фигурирующий как целое.
9. Элемент – неделимое требование.
Вопросы для самоконтроля
1. Какие виды требований включает стандарт ISO/IEC 15408?
2. Чем отличаются функциональные требования от требований доверия?
3. В чем заключается иерархический принцип "класс – семейство – компонент – элемент"?
4. Какова цель требований по отказоустойчивости информационных систем?
5. Сколько классов функциональных требований?
Введение
Цели изучения темы
· ознакомиться с основными положениями стандартов по обеспечению информационной безопасности в распределенных вычислительных сетях.
Требования к знаниям и умениям
Студент должен знать:
· основное содержание стандартов по информационной безопасности распределенных систем;
· основные сервисы безопасности в вычислительных сетях;
· наиболее эффективные механизмы безопасности;
· задачи администрирования средств безопасности.
Студент должен уметь:
· выбирать механизмы безопасности для защиты распределенных систем.
Ключевой термин
Ключевой термин: распределенная информационная система.
Распределенная информационная система – совокупность аппаратных и программных средств, используемых для накопления, хранения, обработки, передачи информации между территориально удаленными пользователями.
Второстепенные термины
· сервис безопасности;
· механизм безопасности.
Структурная схема терминов
Механизмы безопасности
В Х.800 определены следующие сетевые механизмы безопасности:
· шифрование;
· электронная цифровая подпись;
· механизм управления доступом;
· механизм контроля целостности данных;
· механизм аутентификации;
· механизм дополнения трафика;
· механизм управления маршрутизацией;
· механизм нотаризации (заверения).
Следующая таблица иллюстрирует, какие механизмы (по отдельности или в комбинации с другими) могут использоваться для реализации той или иной функции.
Таблица 1.6.1. Взаимосвязь функций и механизмов безопасности
Функции | Механизмы | |||||||
Шифрование | Электронная подпись | Управление доступом | Целостность | Аутентификация | Дополнение трафика | Управление маршрутизацией | Нотаризация | |
Аутентификация партнеров | + | + | - | - | + | - | - | - |
Аутентификация источника | + | + | - | - | - | - | - | - |
Управление доступом | - | - | + | - | - | - | - | - |
Конфиденциальность | + | - | + | - | - | - | + | - |
Избирательная конфиденциальность | + | - | - | - | - | - | - | - |
Конфиденциальность трафика | + | - | - | - | - | + | + | - |
Целостность соединения | + | - | - | + | - | - | - | - |
Целостность вне соединения | + | + | - | + | - | - | - | - |
Неотказуемость | - | + | - | + | - | - | - | + |
"+" механизм используется для реализации данной функцию безопасности;
"-" механизм не используется для реализации данной функции безопасности.
Так, например, "Конфиденциальность трафика" обеспечивается "Шифрованием", "Дополнением трафика" и "Управлением маршрутизацией".
Выводы по теме
1. Стандарты информационной безопасности предусматривают следующие сервисы безопасности:
· аутентификация;
· аутентификация источника;
· управление доступом;
· конфиденциальность;
· конфиденциальность трафика;
· целостность соединения;
· целостность вне соединения;
· неотказуемость.
2. Механизмы безопасности:
· шифрование;
· электронная цифровая подпись;
· механизм управления доступом;
· механизм контроля целостности данных;
· механизм аутентификации;
· механизм дополнения трафика;
· механизм управления маршрутизацией;
· механизм нотаризации (заверения).
3. Администрирование средств безопасности включает в себя распространение информации, необходимой для работы сервисов и механизмов безопасности, а также сбор и анализ информации об их функционировании. Например, распространение криптографических ключей.
4. Администратор средств безопасности решает следующие задачи:
· администрирование информационной системы в целом;
· администрирование сервисов безопасности;
· администрирование механизмов безопасности.
Вопросы для самоконтроля
1. Дайте характеристику составляющих "информационной безопасности" применительно к вычислительным сетям.
2. Перечислите основные механизмы безопасности.
3. Какие механизмы безопасности используются для обеспечения конфиденциальности трафика?
4. Какие механизмы безопасности используются для обеспечения "неотказуемости" системы?
5. Что понимается под администрированием средств безопасности?
6. Какие виды избыточности могут использоваться в вычислительных сетях?
Введение
Цели изучения темы
· ознакомиться с основными стандартами и спецификациями по оценке защищенности информационных систем в РФ.
Требования к знаниям и умениям
Студент должен иметь представление:
· о роли Гостехкомиссии в обеспечении информационной безопасности в РФ;
· о документах по оценке защищенности автоматизированных систем в РФ.
Студент должен знать:
· основное содержание стандартов по оценке защищенности автоматизированных систем в РФ.
Студент должен уметь:
· определять классы защищенных систем по совокупности мер защиты.
Ключевой термин
Ключевой термин: стандарт информационной безопасности.
Стандарт информационной безопасности – нормативный документ, определяющий порядок и правила взаимодействия субъектов информационных отношений, а также требования к инфраструктуре информационной системы, обеспечивающие необходимый уровень информационной безопасности.
Второстепенные термины
· требование защиты;
· показатель защиты;
· класс защиты.
Структурная схема терминов
Таблица 1.7.1. Требования к защищенности автоматизированных систем
Подсистемы и требования | Классы | ||||||||
3Б | 3А | 2Б | 2А | 1Д | 1Г | 1В | 1Б | 1А | |
1 Подсистема управления доступом | |||||||||
1.1 Идентификация, проверка подлинности и контроль доступа субъектов: | |||||||||
- в систему | + | + | + | + | + | + | + | + | + |
- к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ | - | - | - | + | - | + | + | + | + |
- к программам | - | - | - | + | - | + | + | + | + |
- к томам, каталогам, файлам, записям, полям записей | - | - | - | + | - | + | + | + | + |
1.2 Управление потоками информации | - | - | - | + | - | - | + | + | + |
2 Подсистема регистрации и учета | |||||||||
2.1 Регистрация и учет: | |||||||||
- входа/выхода субъектов доступа в/из системы (узла сети) | + | + | + | + | + | + | + | + | + |
- выдачи печатных (графических) выходных документов | - | + | - | + | - | + | + | + | + |
- запуска/завершения программ и процессов (заданий, задач) | - | - | - | + | - | + | + | + | + |
- доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей | - | - | - | + | - | + | + | + | + |
- изменения полномочий субъектов доступа | - | - | - | - | - | - | + | + | + |
- создаваемых защищаемых объектов доступа | - | - | - | + | - | - | + | + | + |
2.2 Учет носителей информации | + | + | + | + | + | + | + | + | + |
2.3 Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | - | + | - | + | - | + | + | + | + |
2.4 Сигнализация попыток нарушения защиты | - | - | - | - | - | - | + | + | + |
3 Криптографическая подсистема | |||||||||
3.1 Шифрование конфиденциальной информации | - | - | - | + | - | - | - | + | + |
3.2 Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | - | - | - | - | - | - | - | - | + |
3.3 Использование аттестованных (сертифицированных) криптографических средств | - | - | - | + | - | - | - | + | + |
4 Подсистема обеспечения целостности | |||||||||
4.1 Обеспечение целостности программных средств и обрабатываемой информации | + | + | + | + | + | + | + | + | + |
4.2 Физическая охрана средств вычислительной техники и носителей информации | + | + | + | + | + | + | + | + | + |
4.3 Наличие администратора (службы защиты) информации в АС | - | - | - | + | - | - | + | + | + |
4.4 Периодическое тестирование СЗИ НСД | + | + | + | + | + | + | + | + | + |
4.5 Наличие средств восстановления СЗИ НСД | + | + | + | + | + | + | + | + | + |
4.6 Использование сертифицированных средств защиты | - | + | - | + | - | - | + | + | + |
"-" нет требований к данному классу; "+" есть требования к данному классу "СЗИ НСД" – система защиты информации от несанкционированного доступа. |
По существу в таб. 1.7.1 систематизированы минимальные требования, которым необходимо следовать, чтобы обеспечить конфиденциальность информации.
Требования по обеспечению целостно