5.3. Основные руководящие нормативно-технические, методические и организационные документы в области информационной безопасности
Следует отметить, что за рубежом действуют несколько десятков международных стандартов в области безопасности информации.
Кроме того, її Западной Европе и США действует большое количество национальных стандартов, по требованиям которых в испытательных центрах осуществляется сертификация защищенных средств вычислительной техники и связи. Так, по направлению защиты информации от НСД в США приняты стандарт Trusted Computer System Evaluation Criteria («Критерий оценки гарантированной защищенности вычислительной системы», так называемая «Оранжевая книга») и руководство к его использованию в МО США (1985 г.), а несколько позже руководство по его применению для оценки защищенности сетей ЭВМ (1987 г.). В Европейском сообществе в 1990 г. принят согласованный Францией, Великобританией, ФРГ и Голландией «Критерий оценки безопасности информационных технологий».В 1992 г. Государственная техническая комиссия при Президенте РФ опубликовала пять «Руководящих документов», посвященных проблеме защиты от несанкционированного доступа (НСД) к информации, обрабатываемой средствами вычислительной техники (СВТ) и автоматизированными системами (АС):
1. «Руководящий документ. Концепция защиты средств вычислительной
95 Глава 5
техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа (НСД) к информации». - Гостехкомиссия России, 30 марта 1992 г. 2.
«Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации». - Гостехкомиссия России, 30 марта 1992 г. 3.
«Руководящий документ. Автоматизированные системы.
Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». - Гостехкомиссия России, 30 марта 1992 г. 4.«Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от НСД в автоматизированных системах и средствах вычислительной техники». - Гостехкомиссия России, 30 марта 1992 г. 5.
«Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения». - Гостехкомиссия России, 30 марта 1992 г.
В 1997 г. к этим документам добавился еще один:
«Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации».
В целом разработка Руководящих документов Гостехкомиссии России явилась следствием бурно развивающегося процесса внедрения новых информационных технологий. Документы достаточно оперативно заполнили правовой вакуум в области стандартов ИБ в стране и на определенном этапе позволили решать актуальную задачу обеспечения безопасности информации. Поскольку разработка документов такого рода для России представляет достаточно новую область деятельности, можно рассматривать их как первую стадию формирования отечественных стандартов в области ИБ.
Рабочий документ по стандартизации «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ». Этот документ устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований и может использоваться как методический материал для заказчиков и разработчиков СВТ при формировании и реализации требований по защите.
Показатели защищенности применяются к общесистемным программным средствам и операционным системам. Конкретные перечни (наборы) показателей определяют классы защищенности.
Каждый показатель описывается совокупностью требований. Требования к показателям реализуются с помощью программно-технических средств, совокупность которых образует комплекс средств защиты (КСЗ). Этим документом устанавлива-96
Законодательство РФ в области информационной безопасности
г гея семь классов защищенности СВТ от НСД к информации, наивысший уровень защищенности у первого класса.
Большое значение в документе придается правилам и процедурам оценки класса защищенности СВТ, осуществляемой группой экспертов как по документации на СВТ, так и с помощью тестирования по специальным программам и методикам.
Упомянутая «Концепция защиты СВТ и АС от НСД к информации» предусматривает существование двух направлений, относительно самостоятельных и, следовательно, имеющих отличие в проблеме защиты информации от НСД: направления, связанного с СВТ, и направления, связанного с АС.
Их отличия порождены тем, что СВТ разрабатываются и поставляются на рынок как элементы, на которых в дальнейшем проектируется АС. Поэтому если СВТ не решает прикладных задач, то оно не содержит пользовательской информации, которая, собственно, и подлежит защите. ( ледовательно, защищенность СВТ характеризуется потенциальной защищенностью, т. е. свойством предотвращать или существенно затруднять 11СД к информации, обрабатываемой в АС, построенной с использованием защищенных СВТ.
Но если защита СВТ обеспечивается только комплексом программно-технических средств, то защита АС обеспечивается сочетанием комплекса программно-технических средств и поддерживающих их организационных мер.
Руководящий документ по стандартизации «АС. Защита от НСД к информации. Классификация АС и требования по защите информации». Указанные отличия обусловили создание самостоятельных технических требований по защите информации, обрабатываемой в АС, от НСД в виде данного руководящего документа, который может использоваться как нормативно-методический материал для заказчиков и разработчиков АС при формировании и реализации требований по защите.
В целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации АС делятся на классы по условиям их функционирования в плане защиты информации.
Выбор методов и средств защиты определяется важностью обрабатываемой информации, составом и структурой АС, способом обработки информации, количественным и качественным составом пользователей и обслуживающего персонала.
Определяющими признаками, по которым производится группировка АС по классам, являются: наличие в АС информации различного уровня конфиденциальности; уровень полномочий субъектов доступа АС на до-
97 Глава 5
ступ к конфиденциальной информации и режим обработки данных в АС - коллективный или индивидуальный.
Устанавливается девять классов защищенности АС от НСД к информации.
Классы подразделяются на группы, отличающиеся особенностями обработки информации в АС.Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса: ЗБ и ЗА.
Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса: 2Б и 2А.
Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов: 1Д, 1 Г, 1В, 1Б, 1А.
Документом предусмотрено, что комплекс программно-техничес- ких средств и организационных решений по защите информации от НСД в общем случае реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из четырех подсистем: управления доступом, регистрацией и учетом, криптографической и обеспечения целостности.
Наличие и условия реализации требований в зависимости от класса АС приведены в табличном виде и сформулированы по группам классов.
В документе приведены условия использования в АС, предназначенной для обработки информации, являющейся собственностью государства и отнесенной к категории секретности, средств вычислительной техники, защищенность которых определяется по руководящему документу «Показатели защищенности С ВТ».
В 2003 г. Гостехкомиссией РФ был принят комплекс руководящих документов под общим названием «Руководящий документ. Безопасность информационных технологий. Положение по разработке профилей защиты и заданий по безопасности».
* * *
Перечисленной документацией не исчерпывается потребность данного направления работ. Это лишь та необходимая основа организационной, нормативно-технической и методической документации, без которой невозможны нормальное существование и развитие информатики, обеспечение безопасности информационных ресурсов и самих средств вычислительной техники.
98 Законодательство РФ в области инфорлищпоипой безопасности
К настоящему времени в РФ разработан комплекс стандартов в області і информационной безопасности.
Основные из них можно классифицировать следующим образом: 1.Обгцсго назначения:
ГОСТ 34.003 - 90.ИТ «Автоматизированные системы, термины и определения»;
ГОСТ 50922 - 96 «Защита информации, термины и определения»;
ГОСТ Р 50739 - 95. СВТ «Защита от НСД к информации ОТТ».
ГОСТ Р ИСО/МЭК 15.408 - 2002.ИТ «Методы и средства обеспечения безопасности. Критерии оценки безопасности ИТ». 2.
Компьютерная безопасность:
ГОСТ РО 51.624 - 2000.ЗИ «Автоматизированные системы в защищенном исполнении. Общие требования по защите информации»;
ГОСТ РО 51.188 - 98.34 «Испытания программных средств на наличие компьютерных вирусов. Типовое руководство». 3.
Противодействие техническим разведкам:
ГОСТ 29.339 - 92.ИТ «Защита от утечки информации за счет ПЭМИН при ее обработке средствами вычислительной техники. Общие технические требования»;
ГОСТ РО 5752 - 95.ИТ «Защита от утечки информации за счет ПЭМИН при ее обработке средствами вычислительной техники. Методы испытаний». 4.
Криптография:
ГОСТ Р 34.10 - 94.ИТ «Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма»
ГОСТ Р 34.11 - 94 «Криптографическая защита информации. Функция хеширования»
ГОСТ 28.147 - 89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
Контрольные вопросы 1.
Раскройте основные направления развития законодательной базы в области информационной безопасности в РФ. 2.
Назовите основные задачи формирования нормативной базы стандартизации в области И Б. 3.
Опишите структуру законодательной базы РФ по вопросам ИБ. 4.
Какие законы Конституции РФ защищают права граждан в информационной сфере? 5.
Какие вы знаете основные руководящие документы по обеспечению информационной безопасности АС?
Еще по теме 5.3. Основные руководящие нормативно-технические, методические и организационные документы в области информационной безопасности:
- 5.1. Структура и основные направления развития законодательной базы в области информационной безопасности
- 5.2. Содержание основных законов Российской Федерации в области информационной безопасности
- 11.4. Административная ответственность за правонарушения в области информационной безопасности
- /./. Основные аспекты информационной безопасности.
- /./. Основные аспекты информационной безопасности.
- 3.2. Основы политики государства в области правового обеспечения информационной безопасности
- 10.1. Система лицензирования деятельности организаций по оказанию услуг в области информационной безопасности
- Проблемы решения вопросов информационной безопасности действующим международным правом. Информационная безопасность и международные организации
- Глава вторая Проблемы решения вопросов информационной безопасности действующим международным правом. Информационная безопасность и международные организации
- 2.2. Вопросы информационной безопасности и информационных отношений и деятельность международных организаций на современном этапе.
- Вопросы информационной безопасности и информационных отношений и деятельность международных организаций на современном этапе.
- 1.2. Информацияf Безопасность, Информационная безопасность. Определение понятий.
- Информация, Безопасность, Информационная безопасность. Определение понятий.