Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная ЗАКОНОДАТЕЛЬСТВО НОРМАТИВНЫЕ ДОКУМЕНТЫ ФСТЭК РОССИИ Обзор руководящих документов ФСТЭК
Protectiva Compliance Manager    Типовые документы по ИБ


Навигация
 

Обзор руководящих документов ФСТЭК

Операции с документом
Государственная Техническая Комиссия при Президенте Российской Федерации является основным государственным органом в России, курирующем вопросы защиты информации от НСД. Руководящие документы, Положения и Постановления Гостехкомиссии России формируют большую часть отечественной нормативной базы в области защиты информации.

Наиболее полную информацию о деятельности Гостехкомиссии России, включая тексты документов, можно найти на их официальном сайте по адресу: http://www.fstec.ru

Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, также выражены в РД Гостехкомиссии РФ “АС. Защита от НСД к информации. Классификация АС и требования по защите информации.” и “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации”.

РД “СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации” устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

  • первая группа содержит только один седьмой класс;
  • вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
  • третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
  • четвертая группа характеризуется верифицированной защитой содержит только первый класс.

РД “АС. Защита от НСД к информации. Классификация АС и требования по защите информации” устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

  • наличие в АС информации различного уровня конфиденциальности;
  • уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
  • режим обработки данных в АС - коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

При анализе системы защиты внешнего периметра корпоративной сети, в качестве основных критериев используется РД “"СВТ. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности МЭ. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

  1. Управление доступом
  2. Идентификация и аутентификация
  3. Регистрация событий и оповещение
  4. Контроль целостности
  5. Восстановление работоспособности

На основании показателей защищенности определяется следующие пять классов защищенности МЭ:

  1. Простейшие фильтрующие маршрутизаторы - 5 класс
  2. Пакетные фильтры сетевого уровня - 4 класс
  3. Простейшие МЭ прикладного уровня - 3 класс
  4. МЭ базового уровня - 2 класс
  5. Продвинутые МЭ - 1 класс

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию “Особой важности”. Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки “совершенно секретной” информации и т. п.

В настоящее время описанные РД уже устарели и содержащаяся в них классификация АС, СВТ и МЭ не может признаваться состоятельной. Достаточно заметить, что классификация АС и СВТ, разрабатывалась без учета распределенной (сетевой) природы современных АС, а все современные коммерческие МЭ по своим возможностям существенно превосходят требования 1-го класса защищенности (за исключением требования по использованию сертифицированных криптографических алгоритмов).

Развитием нормативной базы в этом направлении является разработка “Профилей защиты” для различных классов СВТ, АС и МЭ на базе “Общих критериев”. В настоящее время создано уже значительное количество англоязычных профилей защиты. Значительные усилия в этом направлении предпринимаются и в России под эгидой Гостехкомиссии России.

Проект РД Гостехкомиссии России “Специальные требования и рекомендации по защите конфиденциальной информации” (СТР-К), официально еще не принятый, содержит достаточно полный набор требований и рекомендаций организационного уровня по защите речевой информации, информации, обрабатываемой средствами вычислительной техники, а также по защите информации при подключении к сетям общего пользования.

В документе рассматриваются в том числе следующие вопросы:

  • Защита информации на рабочих местах на базе автономных ПЭВМ;
  • Защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ;
  • Защита информации в локальных вычислительных сетях;
  • Защита информации при межсетевом взаимодействии;
  • Защита информации при работе с системами управления базами данных.

СТР-К может использоваться при проведении аудита безопасности АС для оценки полноты и правильности реализации организационных мер защиты информации в АС.

Аттестации АС и сертификация СВТ по требованиям безопасности информации, аудит и обследование безопасности, в отдельных случаях, предполагают использование помимо перечисленных, и других документов Гостехкомиссии России.

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2017 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex