ГОСТ Р - Национальные стандарты Российской Федерации в области защиты информации — ISOru

За 10 лет своего существования Гостехкомиссия разработала и довела до уровня национальных стандартов десятки документов, среди которых: Защита от несанкционированного доступа НСД к информации. Защита от НСД к информации.

Программное обеспечение средств защиты информации. Самый низкий класс — седьмой, самый высокий — первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты: Первая группа содержит только один седьмой класс, к которому относят все СВТ, неудовлетворяющие требованиям более высоких классов; Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы; Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы; Четвертая группа характеризуется верифицированной защитой и включает только первый класс.

К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

В таблице 2 приведены классы защищенности АС и требования для их обеспечения. Подсистема управления доступом 1. Идентификация, проверка подлинности и контроль доступа субъектов: Подсистема регистрации и учета 2. Очистка обнуление, обезличивание освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. Сигнализация попыток нарушения защиты.

Шифрование информации, принадлежащей различным субъектам доступа группам субъектов на разных ключах. Использование аттестованных сертифицированных криптографических средств. Подсистема обеспечения целостности 4. Обеспечение целостности программных средств и обрабатываемой информации. Физическая охрана средств вычислительной техники и носителей информации. Наличие администратора службы защиты информации в АС.

Использование сертифицированных средств защиты. Требования по обеспечению целостность представлены отдельной подсистемой номер 4. Данный документ определяет показатели защищенности межсетевых экранов МЭ. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ.

Всего выделяется пять показателей защищенности: На основании показателей защищенности определяются следующие пять классов защищенности МЭ: В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

Оценочные стандарты, направленные на классификацию информационных систем и средств защиты по требованиям безопасности;. Технические спецификации, регламентирующие различные аспекты реализации средств защиты. Важно отметить, что между этими видами нормативных документов нет глухой стены. Оценочные стандарты выделяют важнейшие, с точки зрения ИБ, аспекты ИС, играя роль архитектурных спецификаций. Другие технические спецификации определяют, как строить ИС предписанной архитектуры.

Уже одно его название требует комментария. Речь идет не о безопасных, а о доверенных системах , то есть системах, которым можно оказать определенную степень доверия. Очевидно, однако, что абсолютно безопасных систем не существует, это абстракция. Есть смысл оценивать лишь степень доверия, которое можно оказать той или иной системе.

Следует отметить, что в рассматриваемых критериях и безопасность и доверие оцениваются исключительно с точки зрения управления доступом к данным, что является одним из средств обеспечения конфиденциальности и целостности информации. Политика безопасности — набор законов, правил и норм поведения, оп ределяющих, как организация обрабатывает, защищает и распростра няет информацию. В частности, правила определяют, в каких случаях пользователь может оперировать конкретными наборами данных.

Чем выше степень доверия системе, тем строже и многообразнее должна быть политика безопасности. В зависимости от сформулированной политики можно выбирать конкретные механизмы обеспечения безопасности. Политика безопасности — это активный аспект защиты, включающий в себя анализ возможных угроз и выбор мер противодействия. Уровень гарантированности — мера доверия, которая может быть ока зана архитектуре и реализации ИС. Доверие безопасности может проистекать как из анализа результатов тестирования, так и из проверки формальной или нет общего замысла и реализации системы в целом и отдельных ее компонентов.

Уровень гарантированности показывает, насколько корректны механизмы, отвечающие за реализацию политики безопасности. Это пассивный аспект защиты. Основным средством обеспечения безопасности определяется механизм подотчетности протоколирования.

Доверенная система должна фиксировать все события, касающиеся безопасности. Ведение протоколов должно дополняться аудитом, то есть анализом регистрационной информации. Концепция доверенной вычислительной базы является центральной при оценке степени доверия безопасности. Доверенная вычислительная база — это совокупность защитных механизмов ИС включая аппаратное и программное обеспечение , отвечающих за проведение в жизнь полити ки безопасности. Качество вычислительной базы определяется исключительно ее реализацией и корректностью исходных данных, которые вводит системный администратор.

Рассматриваемые компоненты вне вычислительной базы могут не быть доверенными, однако это не должно влиять на безопасность системы в целом. В результате, для оценки доверия безопасности ИС авторы стандарта рекомендуют рассматривать только ее вычислительную базу.

Основное назначение доверенной вычислительной базы — выполнять функции монитора обращений, то есть контролировать допустимость выполнения субъектами пользователями определенных операций над объектами пассивными сущностями. Монитор проверяет каждое обращение пользователя к программам или данным на предмет согласованности с набором действий, допустимых для пользователя. Необходимо предупредить возможность отслеживания работы монитора. Монитор должен вызываться при каждом обращении, не должно быть способов обойти его.

Монитор должен быть компактным, чтобы его можно было проанализировать и протестировать, будучи уверенным в полноте тестирования. Реализация монитора обращений называется ядром безопасности. Ядро безопасности — это основа, на которой строятся все защитные механизмы. Помимо перечисленных выше свойств монитора обращений, ядро должно гарантировать собственную неизменность. Границу доверенной вычислительной базы называют периметром безо пасности. Как уже указывалось, компоненты, лежащие вне периметра безопасности, вообще говоря, могут не быть доверенными.

То, что находится внутри владений, считается доверенным, а то, что вне, — нет. Произвольное управление доступом — это метод разграничения доступа к объектам, основанный на учете личности субъекта или группы, в которую субъект входит. Произвольность управления состоит в том, что некоторое лицо обычно владелец объекта может по своему усмотрению предоставлять другим субъектам или отбирать у них права доступа к объекту. Безопасность повторного использования должна гарантироваться для областей оперативной памяти в частности, для буферов с образами экрана, расшифрованными паролями и т.

Для реализации принудительного управления доступом с субъектами и объектами ассоциируются метки безопасности. Метка субъекта описывает его благонадежность, метка объекта — степень конфиденциальности содержащейся в нем информации.

Уровни секретности образуют упорядоченное множество, а списки категорий — неупорядоченное. Назначение последних — описать предметную область, к которой относятся данные. Принудительное или мандатное управление доступом основано на сопоставлении меток безопасности субъекта и объекта. Субъект может читать информацию из объекта, если уровень секретности субъекта не ниже, чем у объекта, а все категории, перечисленные в метке безопасности объекта, присутствуют в метке субъекта.

В таком случае говорят, что метка субъекта доминирует над меткой объекта. Смысл сформулированного правила понятен — читать можно только то, что положено. Описанный способ управления доступом называется принудительным, поскольку он не зависит от воли субъектов даже системных администраторов. После того, как зафиксированы метки безопасности субъектов объектов, оказываются зафиксированными и права доступа.

Если понимать политику безопасности узко, то есть как правила разграничения доступа, то механизм подотчетности является дополнением подобной политики. Цель подотчетности - в каждый момент времени знать, кто работает в системе и что делает. Средства подотчетности делятся на три категории:. Обычный способ идентификации — ввод имени пользователя при входе в систему. Стандартное средство проверки подлинности аутентификации пользователя - пароль.

Доверенный путь связывает пользователя непосредственно с доверенной вычислительной базой, минуя другие, потенциально опасные компоненты ИС. Цель предоставления доверенного пути — дать пользователю возможность убедиться в подлинности обслуживающей его системы. Анализ регистрационной информации аудит имеет дело с действиями событиями , так или иначе затрагивающими безопасность системы.

Если фиксировать все события, объем регистрационной информации, скорее всего, будет расти слишком быстро, а ее эффективный анализ станет невозможным. Гарантированность — это мера уверенности с которой можно утверждать, что для проведения в жизнь сформулированной политики безопасности выбран подходящий набор средств, и что каждое из этих средств правильно исполняет отведенную ему роль.

Операционная гарантированность относится к архитектурным и реализационным аспектам системы, в то время как технологическая — к методам построения и сопровождения.

Операционная гарантированность включает в себя проверку следующих элементов:. Операционная гарантированность — это способ убедиться в том, что архитектура системы и ее реализация действительно реализуют избранную политику безопасности. Технологическая гарантированность охватывает весь жизненный цикл системы, то есть периоды проектирования, реализации, тестирования, продажи и сопровождения. Оформление документации является необходимым условием для подтверждения гарантии надежности системы и одновременно — инструмент проведения политики безопасности.

Без документации люди не будут знать, какой политике следовать и что для этого нужно делать. Согласно "Оранжевой книге", в комплект документации надежной системы должны входить следующие тома:. Разумеется, на практике требуется еще по крайней мере одна книга — письменное изложение политики безопасности данной организации. Руководство пользователя по средствам безопасности предназначено для обычных, непривилегированных людей. Оно должно содержать сведения о механизмах безопасности и способах их использования.

Руководство должно давать ответы по крайней мере на следующие вопросы:. Как входить в систему? Как вводить имя и пароль? Как часто это нужно делать? Как выбирать новый пароль? Как защищать файлы и другую информацию? Как задавать права доступа к файлам?

Национальные стандарты. Нормативные правовые акты, организационно-распорядительные документы, нормативные и методические документы и подготовленные проекты документов по технической защите информации. Печать. Подробности. Создано: 09 Января Обновлено: 19 Февраля Просмотров: Национальные стандарты. Рассмотрим наиболее важные стандарты, знание которых необходимо разработчикам и оценщикам защитных средств, системным администраторам, руководителям служб защиты информации, пользователям по хронологии их создания, в том числе: · Критерий оценки надежности компьютерных систем «Оранжевая книга» (США); · Гармонизированные критерии европейских стран. В области безопасности информации. В процессе эксплуатации ИТКС необходимо обеспечить надежность и эффективность функционирования системы обеспечения информационной безопасности. Для создания эффективной системы защиты разработан ряд стандартов. Главная задача стандартов информационной безопасности - создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Многие правительственные организации и частные компании приобретают только такие системы, которые удовлетворяют определенным наборам требований.

Стандарты информационной безопасности — Википедия

Сегодня системы такого типа стремительно развиваются и в мире, и у нас в стране. Общеизвестно, что стандартизация является основой всевозможных методик определения качества продукции и услуг. Одним из главных результатов подобной деятельности в сфере систематизации требований и характеристик защищенных информационных комплексов стала Система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов.

Принятый в году базовый стандарт информационной безопасности ISO , безусловно, очень важен для российских разработчиков. Тем более что в текущем, году Госстандарт планирует подготовить гармонизованный вариант этого документа. Международная организация по стандартизации ISO приступила к разработке Международного стандарта по критериям оценки безопасности информационных технологий для общего использования "Common Criteria" "Общие критерии оценки безопасности ИТ" в году.

В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности США , Учреждение безопасности коммуникаций Канада , Агентство информационной безопасности Германия , Агентство национальной безопасности коммуникаций Голландия , органы исполнения Программы безопасности и сертификации ИТ Англия , Центр обеспечения безопасности систем Франция. После окончательного утверждения стандарта ему был присвоен номер ISO Общие критерии ОК созданы для взаимного признания результатов оценки безопасности ИТ в мировом масштабе и представляют собой ее основу.

Они позволяют сравнить результаты независимых оценок информационной безопасности и допустимых рисков на основе множества общих требований к функциям безопасности средств и систем ИТ, а также гарантий, применяемых к ним в процессе тестирования. Главные преимущества ОК - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники.

Критерии разработаны таким образом, чтобы удовлетворить потребности всех трех групп пользователей потребителей, разработчиков и оценщиков при исследовании свойств безопасности средства или системы ИТ объекта оценки.

Этот стандарт полезен в качестве руководства при разработке функций безопасности ИТ, а также при приобретении коммерческих продуктов с подобными свойствами. Основное направление оценки - это угрозы, появляющиеся при злоумышленных действиях человека, но ОК также могут использоваться и при оценке угроз, вызванных другими факторами. В будущем ожидается создание специализированных требований для коммерческой кредитно-финансовой сферы. Напомним, что прежние отечественные и зарубежные документы такого типа были привязаны к условиям правительственной или военной системы, обрабатывающей секретную информацию, в которой может содержаться государственная тайна.

Выпуск и внедрение этого стандарта за рубежом сопровождается разработкой новой, стандартизуемой архитектуры, которая призвана обеспечить информационную безопасность вычислительных систем.

Иными словами, создаются технические и программные средства ЭВМ, отвечающие Общим критериям. Например, международная организация "Open Group", объединяющая около ведущих фирм-производителей вычислительной техники и телекоммуникаций из различных стран мира, выпустила новую архитектуру безопасности информации для коммерческих автоматизированных систем с учетом указанных критериев.

Кроме того, "Open Group" создает учебные программы, способствующие быстрому и качественному внедрению документов по стандартизации. В Глобальной сети уже давно существует целый ряд комитетов, которые занимаются стандартизацией всех интернет-технологий.

Эти организации, составляющие основную часть Рабочей группы инженеров Интернета Internet Engineering Task Force, IETF , уже стандартизировали нескольких важных протоколов, тем самым ускорив их внедрение в сети.

За несколько последних лет сетевой рынок стал свидетелем так называемого фрагментированного влияния на формирование стандартов. По мере того, как Интернет ширился и обретал черты потребительского и коммерческого рынка, некоторые фирмы стали искать пути влияния на стандартизацию, создав подобие конкурентной борьбы. Давление почувствовали даже неформальные органы, такие как IETF. По мере развития рынков, связанных с Интернетом, предприниматели начали объединяться в специальные группы или консорциумы для продвижения своих собственных стандартов.

Порой стандарты де-факто задают своими покупками или заказами серьезные потребители интернет-услуг. Одна из причин появления различных групп по стандартизации состоит в противоречии между постоянно возрастающими темпами развития технологий и длительным циклом создания стандартов.

Они появились сравнительно недавно, и сразу стали стандартами де-факто. Наиболее популярный сейчас сетевой протокол шифрования данных для безопасной передачи по сети представляет собой набор криптографических алгоритмов, методов и правил их применения. Позволяет устанавливать защищенное соединение, производить контроль целостности данных и решать различные сопутствующие задачи. SET Security Electronics Transaction - перспективный протокол, обеспечивающий безопасные электронные транзакции в Интернете.

Он основан на использовании цифровых сертификатов по стандарту Х. С его помощью покупатели могут приобретать товары через Интернет, используя самый защищенный на сегодняшний день механизм выполнения платежей. SET - это открытый стандартный многосторонний протокол для проведения платежей в Интернете с использованием пластиковых карточек.

Он обеспечивает кросс-аутентификацию счета держателя карты, продавца и банка продавца для проверки готовности оплаты, а также целостность и секретность сообщения, шифрование ценных и уязвимых данных. SET можно считать стандартной технологией или системой протоколов выполнения безопасных платежей на основе пластиковых карт через Интернет. В настоящее время IPSec включает три алгоритмо-независимых базовых спецификации, представляющих соответствующие RFC-стандарты.

Протокол IPSec обеспечивает стандартный способ шифрования трафика на сетевом третьем уровне IP и защищает информацию на основе сквозного шифрования: Это позволяет организациям создавать в Интернете виртуальные частные сети.

Исторически сложилось, что в России проблемы безопасности ИТ изучались и своевременно решались только в сфере охраны государственной тайны. Аналогичные, но имеющие собственную специфику задачи коммерческого сектора экономики долгое время не находили соответствующих решений.

Данный факт до сих пор существенно замедляет появление и развитие безопасных ИТ-средств на отечественном рынке, который интегрируется с мировой системой. Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности.

Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Подобные документы обычно издаются в виде внутренних технических и организационных политик стандартов организации. Все документы среднего уровня политики информационной безопасности конфиденциальны. В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

В литературе предлагается следующая классификация средств защиты информации. В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях. Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. Полноценная ИБП подразумевает непрерывный контроль всех важных событий и состояний, влияющих на безопасность данных и осуществляется круглогодично [14].

Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений и прочее [15].

С оценки имущества начинается процесс обеспечения информационной безопасности, определения информационных активов организации, факторов, угрожающих этой информации, и ее уязвимости, значимости общего риска для организации.

В зависимости от имущества и будет составляться программу защиты этих активов. После того, как риск будет выявлен и будет составлена его количественная оценка, можно будет выбрать рентабельную контрмеру для уменьшения этого риска.

Получив вышеуказанные политики и процедуры, каждая из них исследуется на предмет значимости, правомерности, завершенности и актуальности, так как политики и процедуры должны соответствовать цели, определенной в документе.

После оценки необходимо заняться разработкой политик и процедур, которые определяют предполагаемое состояние безопасности и перечень необходимых работ. Реализация политики безопасности заключается в реализации технических средств и средств непосредственного контроля, а так же в подборе штата безопасности.

Могут потребоваться изменения в конфигурации систем, находящихся вне компетенции отдела безопасности, поэтому в проведении программы безопасности должны участвовать системные и сетевые администраторы.

При применении любых новых систем безопасности нужно располагать квалифицированным персоналом. Организация не может обеспечить защиту секретной информации, не привлекая своих сотрудников. Сотрудники должны знать, почему вопросы безопасности так важны, должны быть обучены выявлению и защите секретной информации.

Он определяет состояние информационной безопасности внутри организации, создание соответствующих политик и процедур, приведение в действие технических средств контроля и обучение персонала [16].

Материал из Википедии — свободной энциклопедии. Текущая версия страницы пока не проверялась опытными участниками и может значительно отличаться от версии , проверенной 1 декабря ; проверки требуют 58 правок. У этого термина существуют и другие значения, см. Эта статья должна быть полностью переписана. На странице обсуждения могут быть пояснения. Рекомендуется всюду, где возможно, эти слова заменять признаками предмета, например: Вы можете помочь Википедии, добавив информацию для других стран и регионов.

Обеспечение информационной безопасности предприятий торговли, торговых сетей и их инфраструктуры: Информационная безопасность и защита информации 3-е изд. Права доступа Мандатное управление доступом Избирательное управление доступом Управление доступом на основе ролей. Информационная безопасность Каналы утечки информации Защита информации в локальных сетях Защита в сетях Wi-Fi Безопасность в сетях WiMAX Безопасность интернета вещей Каналы утечки информации, передаваемой по оптическим линиям связи.

Антивирусная программа Межсетевой экран Система обнаружения вторжений Предотвращение утечек. Для улучшения этой статьи желательно: Статьи к полной переработке Википедия:

Непрерывность процесса защиты информации должна гарантировать . стандарты и опробованные методики, необходимые для внедрения ИБ. BS — Британский стандарт BS первая часть. BS Part 1 ГОСТ Р — Защита информации. Основные термины и. 5 мар. г. - Защита от несанкционированного доступа к информации. ориентироваться но и применять на практике необходимые стандарты.

Найдено :

Случайные запросы