- •Содержание
- •Лекция 1. Предмет и задачи программно-аппаратной защиты информации
- •3. Основные понятия
- •Лекция 2. Средства, методы и протоколы идентификации
- •Лекция 3. Средства, методы и протоколы аутентификация
- •Лекция 4. Средства, методы и протоколы авторизации Лекция 5. Мандатное управление доступом
- •Лекция 6. Избирательное управление доступом
- •Лекция 7. Управление доступом на основе ролей
- •Лекция 8. Классификация ids
- •2 Классификация ids
- •Лекция 9. Архитектура ids
- •Контрольные вопросы:
- •Лекция 10. Стандарты в области ids
- •Лекция 11. Виды аудита безопасности
- •Лекция 12. Этапы проведения аудита
- •Лекция 13. Оценка уровня безопасности информационных систем
- •Лекция 14. Назначение и возможности сзи от нсд, требования, предъявляемые к ним
- •1. Общие положения
- •2. Термины и определения
- •3. Требования к уровню контроля 3.1. Перечень требований
- •3.2. Требования к четвертому уровню контроля
- •3.2.1.Контроль состава и содержания документации
- •3.2.2. Контроль исходного состояния по
- •3.3.4. Динамический анализ исходных текстов программ
- •3.3.5. Отчетность
- •3.4. Требования ко второму уровню контроля
- •3.4.1.Контроль состава и содержания документации
- •3.4.2.Контроль исходного состояния по
- •3.4.3. Статический анализ исходных текстов программ
- •3.4.4. Динамический анализ исходных текстов программ
- •3.4.5 Отчетность
- •3.5. Требования к первому уровню контроля
- •Лекция 16. Применение сзи от нсд «Страж-nt».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Создание замкнутой программной среды
- •7. Контроль целостности
- •8. Организация учета съемных носителей информации
- •9. Регистрация событий
- •Лекция 17. Применение сзи от нсд ««Dallas Loc».
- •2. Запуск и регистрация в системе защиты
- •3. Создание пользователей
- •4. Реализация мандатной модели разграничения доступа
- •5. Реализация дискреционной модели разграничения доступа
- •6. Обеспечение замкнутости программной среды
- •7. Контроль целостности
- •8. Регистрация событий
- •9. Печать штампа
- •10. Гарантированное удаление данных
- •11. Реализация запрета загрузки пэвм в обход сзи
- •Лекция 18. Применение сзи от нсд ««Secret net».
- •2. Запуск и регистрация в системе защиты
- •3. Реализация дискреционной модели разграничения доступа
- •4. Реализация мандатной модели разграничения доступа
- •5. Режим замкнутой программной среды
- •6. Контроль целостности
- •7. Регистрация событий
- •8. Печать штампа
- •9. Настройка механизма шифрования
- •Лекция 19. Применение сзи от нсд «пак Соболь, «Cisco pix» и «Cisco Asa»
Лекция 13. Оценка уровня безопасности информационных систем
Цель: использование нормативно-правовых документов при оценке уровня безопасности информационных систем
План:
Три основные составляющие норамтивной базы систем правового регулирования
Оранжевая книга
Классификация автоматизированных систем и требования по защите информации
Положение об обеспечение безопасности персональных данных
Выделим три основные составляющие нормативной базы системы правового регулирования информационной безопасности:
правовые нормы обеспечения безопасности прав и свобод граждан, реализуемых в информационной сфере;
правовые нормы обеспечения безопасности интересов Российской Федерации в области развития российской инфраструктуры и эффективного использования отечественных информационных ресурсов;
правовые нормы обеспечения безопасности информационных и телекоммуникационных систем и информационных ресурсов.
Исторически первым оценочным стандартом, получившим широкое распространение и оказавшим огромное влияние на базу стандартизации ИБ во многих странах, стал стандарт Министерства обороны США "Критерии оценки доверенных компьютерных систем".
Данный труд, называемый чаще всего по цвету обложки "Оранжевой книгой", был впервые опубликован в августе 1983 года.
«Оранжевая книга» предусматривает четыре группы критериев1, которые соответствуют различной степени защищенности: от минимальной (группаD) до формально доказанной (группа А). Каждая группа включает один или несколько классов. Группы D и А содержат по одному классу (классы D1 и А1 соответственно), группа С — классы Cl, C2, а группа В — Bl, B2, ВЗ, характеризующиеся различными наборами требований безопасности. Уровень безопасности возрастает при движении от группы D к группе А, а внутри группы — с возрастанием номера класса.
Приведенные классы безопасности надолго определили основные концепции безопасности и ход развития средств защиты.
Аналогичный подход реализован и в руководящем документе Государственной технической комиссией при Президенте РФ «Классификация автоматизированных систем и требований по защите информации», выпущенном в 1992 г2. Требования документаобязательны для исполнения только для тех государственных либо коммерческих организаций, которые обрабатывают информацию, содержащую государственную тайну. Для остальных коммерческих структур документы носят рекомендательный характер. В данном документе выделено 9 классов защищенности автоматизированных систем от несанкционированного доступа к информации, а для каждого класса определен минимальный состав необходимых механизмов защиты и требования к содержанию защитных функций каждого из механизмов в каждом из классов систем.
Классы систем разделены на три группы, причем основным критерием деления на группы приняты специфические особенности обработки информации, а именно:
третья группа - системы, в которых работает один пользователь, допущенный ко всей обрабатываемой информации, размещенной на носителях одного уровня конфиденциальности; к группе отнесены два класса, обозначенные ЗБ и ЗА;
вторая группа - системы, в которых работает несколько пользователей, которые имеют одинаковые права доступа ко всей информации, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности; к группе отнесены два класса, обозначенные 2Б и 2А;
первая группа - многопользовательские системы, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности, причем различные пользователи имеют разные права на доступ к информации; к группе отнесено 5 классов: 1Д, 1Г, 1В, 1Б и 1А.
Требования к защите растут от систем класса ЗБ к классу 1 А.
Все механизмы защиты разделены на 4 подсистемы следующего назначения:
управления доступом;
регистрации и учета;
криптографического закрытия;
обеспечения целостности.
Состав перечисленных подсистем приведен в Приложении 1.
Наличие рассмотренных методик и закрепление их в официальных документах создает достаточно надежную базу для защиты информации на регулярной основе.
По данным 2009 года соотношение количества действующих международных и национальных стандартов в области ИТ и ИБ составило3:
международные стандарты по ИБ (~170);
национальные стандарты по ИТ (~200);
международные стандарты по ИТ (~1300);
национальные стандарты по ИБ (~40).
В целях осуществления мероприятий по технической защите информационных систем и защиты персональных данных в соответствии с Федеральным законом от 27 июля 2006г. №152-ФЗ «О персональных данных», постановлением Правительства РФ от 17 ноября 2007г. №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработки в информационных системах персональных данных»
. Класс системы определяется в соответствии с таблицей4:
|
Хпд Хнпд |
1 |
2 |
3 |
|
Категория 4 |
К4 |
К4 |
К4 |
|
Категория 3 |
К3 |
К3 |
К2 |
|
Категория 2 |
К3 |
К2 |
К1 |
|
Категория 1 |
К1 |
К1 |
К1 |
Хпд (категория обрабатываемых в информационной системе персональных данных):
категория1 - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, состояния здоровья, интимной жизни;
категория 2 - персональные данные, позволяющие идентифицировать субъекта персональных данных и получить о нем дополнительную информацию, за исключением персональных данных, относящихся к категории 1;
категория 3 - персональные данные, позволяющие идентифицировать субъекта персональных данных;
категория 4 - обезличенные и (или) общедоступные персональные данные.
Хнпд (объем обрабатываемых персональных данных):
- в информационной системе одновременно обрабатываются персональные данные более чем 100 000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах субъекта Российской Федерации или Российской Федерации в целом;
- в информационной системе одновременно обрабатываются персональные данные от 1000 до 100 000 субъектов персональных данных или персональные данные субъектов персональных данных, работающих в отрасли экономики Российской Федерации, в органе государственной власти, проживающих в пределах муниципального образования;
- в информационной системе одновременно обрабатываются данные менее чем 1000 субъектов персональных данных или персональные данные субъектов персональных данных в пределах конкретной организации.
По результатам анализа исходных данных типовой информационной системе присваивался один из следующих классов:
класс 1 (К1) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к значительным негативным последствиям для субъектов персональных данных;
класс 2 (К2) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к негативным последствиям для субъектов персональных данных;
класс 3 (КЗ) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, может привести к незначительным негативным последствиям для субъектов персональных данных;
класс 4 (К4) - информационные системы, для которых нарушение заданной характеристики безопасности персональных данных, обрабатываемых в них, не приводит к негативным последствиям для субъектов персональных данных.
Контрольные вопросы:
Три основные составляющие норамтивной базы систем правового регулирования
Оранжевая книга
Классификация автоматизированных систем и требования по защите информации
Положение об обеспечение безопасности персональных данных