- •5. Критерии оценки надежных компьютерных систем. Оранжевая книга.
- •6. Основные элементы политики безопасности по «Оранжевой книге».
- •7. Классы безопасности по «Оранжевой книге».
- •8. Гостехкомиссия при президенте рф и ее функции.
- •9. Классификация свт по уровню защищенности от нсд.
- •10. Классификация автоматизированных систем по уровню защищенности от нсд.
- •11. Идентификация, аутентификация и аудит.
- •12. Соответствие категории обрабатываемой информации требованиям класса защиты для свт, ас, Гостехкомиссии рф и «Оранжевой книги»
- •13. Распределение функций безопасности по уровням эталонной семиуровневой модели
- •16. Классификация угроз и механизмы защиты (по характеру воздействия, по причине появления используемой ошибки защиты).
- •1. По характеру воздействия
- •2. По причине появления используемой ошибки защиты
- •17. Классификация угроз и механизмы защиты (по способу воздействия на объект атаки, по объекту атаки, по используемым средствам атаки).
- •1. Непосредственное воздействие на объект атаки.
- •1. На асои в целом через механизмы доступа.
- •2. На объекты асои.
- •3. На субъекты асои.
- •18. Организационно-распорядительные мероприятия.
- •19. Проектирование средств защиты информации. Горизонтальная структура.
- •20. Проектирование средств защиты информации. Вертикальная структура.
- •21.Шифрование. Использование технологии tls/ssl, эцп.
- •22. Персональные данные и информационные системы персональных данных (испд). Общие понятия.
- •23. Категории испд
- •24. Определение классов и типов испд.
- •25. Частная модель угроз
- •26. Методы и способы защиты информации от несанкционированного доступа
- •1.1. Методами и способами зашиты информации от несанкционированного доступа являются:
- •27 Методы и способы защиты информации от утечки по техническим каналам
12. Соответствие категории обрабатываемой информации требованиям класса защиты для свт, ас, Гостехкомиссии рф и «Оранжевой книги»
|
Гостехкомиссия России |
США |
||
Категория информации |
СВТ |
АС |
МЭ |
Orange book |
|
1 |
|
|
A1 (верифицированная разработка) |
1 кат. Особо важная |
2 |
1А |
1 |
B3 (Области безопасности) |
2 кат. Совершенно секретная |
3 |
1Б |
2 |
B2 (Структурированная защита) |
3 кат. Секретная |
4 |
1В |
3 |
B1 (Меточная защита) |
Конфиденциальная |
5 |
1Г |
4 |
C2 (Управляемый доступ) |
|
6 |
1Д |
5 |
C1 (Избирательная защита) |
7 |
|
|
D (Без контроля) |
|
Причина необходимости использования стандарта - стандарт является результатом формализации опыта лучших специалистов в той или иной области, и потому представляет собой надёжный источник оптимальных и проверенных решений. Стандарты являются также одним из основных механизмов обеспечения совместимости продуктов и систем – в частности, АС, использующих решения от различных производителей.
С 1983 по 1988 год Министерство обороны США и Национальный комитет компьютерной безопасности разработали систему стандартов в области компьютерной безопасности, которая включает более десяти документов. Этот список возглавляют "Критерии оценки безопасности компьютерных систем", больше известные как "Оранжевая книга". В "Оранжевой книге" определяется четыре уровня надежности (безопасности) - D, C, B и A. Уровень D предназначен для систем, признанных неудовлетворительными, т.е. к которым не предъявляется никаких требований. По мере перехода от уровня C к A к надежности систем предъявляются все более жесткие требования. Уровни C и B подразделяются на классы (C1, C2, B1, B2, B3) с постепенным возрастанием надежности. Таким образом, всего имеется шесть классов безопасности - C1, C2, B1, B2, B3, A1 (ну и 7-й - D).
У нас руководящие документы в области защиты информации, аналогичные "Оранжевой книге", подготовлены Гостехкомиссией России при Президенте РФ и приняты в 1992 г. Они обязательны для государственного сектора, а также коммерческих организаций, если в них обрабатывается информация, содержащая государственную тайну. Для остальных документы носят рекомендательно-консультативный характер. Документ "Свт. Защита от нсд к информации. Показатели защищенности" вводит семь классов защищенности. Самый низкий - седьмой, самый высокий - первый. Требования к показателям защищенности предъявляются к общесистемным программным средствам и операционным системам. В зависимости от реализованных моделей защиты и надежности их проверки классы подразделяются на четыре группы. Документ "Ас. Защита от нсд к информации. Классификация ас и требования по защите информации" определяет девять классов защищенности автоматизированных систем от НСД к информации. Выбор класса производится по определяющим признакам: - наличие в системе информации различного уровня конфиденциальности; - уровень полномочий субъектов на доступ к конфиденциальной информации; - режим обработки данных в системе - коллективный или индивидуальный.