ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Общая оценка безопасности системы по ITSEC состоит из двух компонент — оценки уровня гарантированной эффективности механизмов (средств) безопасности и оценки уровня их гарантированной корректности. Безопасность системы в целом оценивается отдельно для «систем» и «продуктов». Защищенность их не может быть выше мощности самого слабого из критически важных механизмов безопасности (средств защиты).

В европейских критериях устанавливаются 10 классов безопасности (F-C1, F-C2, F-B1, F-B2, F-B3, F-IN, F-AV, F-D1, F-DC, F-DX). Первые пять из них аналогичны классам Cl, C2, Bl, B2, В3 американских критериев TCSEC. Класс F-IN предназначен для систем с высокими потребностями к обеспечению целостности, что типично для СУБД, и различает виды доступа: чтение, запись, добавление, удаление, создание, переименование и выделение объектов. Класс F-AV предназначен для систем с высокими требованиями к обеспечению их работоспособности за счет противодействия угрозам отказа в обслуживании (существенно для систем управления технологическими процессами). Класс F-D1 ориентирован на системы с повышенными требованиями к целостности данных, которые передаются по каналам связи. Класс F-DC характеризуется повышенными требованиями к конфиденциальности информации, а класс F-DX предназначен для систем с повышенными требованиями одновременно по классам F-D1 и F-DC.

Канада разработала СТСРЕС, и, наконец, США разработали новые Федеральные Критерии (Federal Criteria). Так как эти критерии являются несовместимыми между собой, было принято решение попытаться гармонизировать (объединить) все эти критерии в новый набор критериев оценки защищенности, названный Common

Criteria (CC). Общие критерии дают набор критериев по оценке защищенности и устанавливают:

• требования к функциональным возможностям и гарантиям;

• 7 уровней доверия (Уровни Гарантий при Оценке), которые может запросить пользователь (уровень EAL1 обеспечивает лишь небольшое доверие к корректности системы, а уровень EAL7 дает очень высокие гарантии);

• два понятия: Профиль Защиты (РР) и Цель безопасности (ST).

Одним из отечественных аналогов перечисленных стандартов является Руководящий документ Гостехкомиссии РФ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации».

Комплексность защиты информации достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами:

ГОСТ 28147—89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»;

ГОСТ Р 34. 10—94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма»;

ГОСТ Р 34. 11—94 «Информационная технология. Криптографическая защита информации. Функция хэширования»;

ГОСТ Р 50739—95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».

Поскольку деятельность любой организации подвержена множеству рисков, в том числе вследствие использования информационных технологий, то относительно недавно появилась новая функция — управление рисками, которая включает в себя два вида деятельности: оценку (измерение) рисков и выбор эффективных и экономичных защитных регуляторов. Процесс управления рисками можно подразделить на следующие этапы:

1. Выбор анализируемых объектов и степени детальности их рассмотрения.

Страниц: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 194 195 196