Раздел3_11
.pdfидей и для других целей, не связанных с выполнением служебных обязанностей.
5 ЭП не может использоваться для создания оскорбительных или прово-
кационных сообщений. Таковыми считаются в том числе сообщения, содержащие сексуальные домогательства, расовые оскорбления, дискриминацию по половому признаку или другие комментарии, затрагивающие в оскорбительной форме вопросы возраста, религиозные или политические пристрастия, национальность или состояние здоровья.
6 Система ЭП не должна использоваться для передачи (выгрузки)
или получения (загрузки) материалов, защищённых авторским правом,
торговых секретов, внутренней финансовой информации или аналогичных документов лицами, не имеющими соответствующих полномочий.
7 Организация оставляет за собой право просматривать, контролировать, перехватывать, изымать и разглашать все сообще-
ния, созданные, полученные или переданные с помощью системы ЭП с любой целью. Содержание сообщения ЭП, даже полученного в рамках выполнения служебных обязанностей, может быть доведено до сведения уполномоченных лиц в пределах организации без разрешения сотрудника.
8 Никакое сообщение не может считаться конфиденциальным
для организации. Использование шифрования в целях защиты не гарантирует конфиденциальности. Все ключи должны быть предоставлены организации, в противном случае они объявляются незаконными и применяться не могут.
9 Несмотря на то что организация имеет право извлекать и читать все сооб-
щения ЭП, такие сообщения должны рассматриваться как конфиденциаль-
ные другими сотрудниками организации, и получить к ним доступ может только сотрудник, которому эти сообщения адресованы. Любое исключение из этого правила возможно при разрешении руководстваорганизации.
10 Временная шкала на компьютерах организации устанавли-
вается централизованно. Сотрудник не вправе устанавливать собственное
время на личном компьютере.
11 Любой сотрудник, которому стало известно о нарушении правил, изложенных в данном документе, должен уведомить об этом
службу безопасности.
12 Любой сотрудник, нарушивший эти правила или использующий си-
стему электронной почты в незаконных целях, будет подвергнут дисциплинар-
ному наказанию, вплоть до увольнения.
3.6 Общая характеристика отечественных и международных нормативных документов
Нормативные документы по защите информации появились в СССР ещё в 60-е годы ХХ века, но комплексный документ по этому направлению впервые появился в США, где в 1985 г. были утверждены «Критерии оценки гарантированной защищенности вычислительной системы» (так
называемая «Оранжевая книга»). В 1987 г. были приняты дополнения по оценке защищенности сетей, а в 1989 г. – по оценке защищенности СУБД.
В Европейском Союзе стал действовать согласованный между Францией, Великобританией, ФРГ и Голландией документ (1991 г.):
«Критерии оценки безопасности информационных технологий».
Международная организация по стандартизации ISO утвердила в
качестве международного стандарта «Единые критерии безопас-
ности информационных технологий».
В 1992 г. Гостехкомиссия (ГТК) при Президенте РФ разработала 5
руководящих документов, посвященных защите информации в АС и её об-
работки. Они являются составляющей организационно-правового обеспечения безопасности информации. На соответствие требованиям
этих документов оценивается качество СВТ, связи и АС [2].
Ныне приемник ГТК – это ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХ-
НИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ.
Российским аналогом «Оранжевой книги» служит руководящий до-
кумент ГТК России «СВТ. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» [7].
Технические средства, на которые распространялось действие этого документа, функционируют и по сей день.
Но наиболее полно критерии оценки механизмов безопасности
программно-технического уровня ПРЕДСТАВЛЕНЫ В ГОСТ Р ИСО/МЭК 15408–2002, принятом в 2002 году и вступившем в действие в
2004 году.
Данный документ призван заменить руководящие документы
(РД) Гостехкомиссии РФ: «Автоматизированные системы. Защита от НСД
кинформации. Классификация автоматизированных систем и требования по защите информации», «Средства вычислительной техники. Защита от НСД
кинформации. Показатели защищённости от НСД к информации», – как
устаревшие и не отвечающие мировым стандартам безопасности ин-
формационных технологий.
ДОКУМЕНТЫ ГТК РФ 1992 г. устанавливали 7 классов за-
щищенности СВТ от НСД к информации. Наивысшему уровню защищённо-
сти соответствует 1-й класс. Классы объединяются в группы, отличаю-
щиеся качественным уровнем защиты. Есть ЧЕТЫРЕ ГРУППЫ:
а) первая группа – содержит только 7-й класс, к которому ПРЕДЪ-
ЯВЛЯЮТСЯ требования по защите, но при оценке защищённость СВТ оказывается ниже уровня требований 6-го класса;
б) вторая группа – характеризуется ДИСКРЕЦИОННОЙ защи-
той, при которой контролируется доступ пользователей и их программ к ресур-
сам СВТ на основе матрицы доступа. Группа включает 6-й и 5-й классы.
В) Третья группа – характеризуется МАНДАТНОЙ защитой, т.
е. определённым классификационным уровнем (уровнем уязвимости, категорий секретности, и т. д.). Группа включает в себя 4-й, 3-й и 2-й классы.
Д) Четвертая группа – характеризуется ГАРАНТИЯМИ АРХИТЕКТУРЫи включает только 1-й класс.
Отнесение СВТ к конкретной группе выполняется С ПОМО-
ЩЬЮ ТАБЛИЦЫ, колонки которой представляют собой классы защищённости, а по строкам указаны показатели защищённости.
Наличие или отсутствие тех или иных показателей относило СВТ к конкрет-
ному классу.
То есть, классификация СВТ по уровню защищённости от НСД к инфор-
мации устанавливается на основе перечня показателей защищенности и
совокупности описывающих их требований.
Под СВТ понимается совокупность программных и технических ЭЛЕМЕНТОВ систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ).
ИЗОЛЯЦИЯ МОДУЛЕЙ, требуемая с 4-го класса, отражает НЕ-
ВЛИЯНИЕ СУБЪЕКТОВ друг на друга.
ГАРАНТИИ ПРОЕКТИРОВАНИЯ и ЦЕЛОСТНОСТЬ КСЗ фак-
тически отражают гарантии выполнения политики безопасности
(требуется с 5-го класса).
В качестве характеристик защищённости используется 21 пока-
затель (очистка памяти, идентификация и аутентификация, регистрация,
изоляция модулей, целостность криптографических средств защиты, тести-
рование, гарантии проектирования, наличие соответствующей документа-
ции и т. д.).
Но в АС ТРЕБОВАНИЯ ПО ЗАЩИТЕ информации от НСД несколь-
ко ОТЛИЧАЮТСЯ от требований для СВТ. Это объясняется тем, что
СВТ разрабатываются и поставляются на рынок как элементы, из
которых в дальнейшем проектируется АС.
Поэтому, не решая прикладных задач, СВТ не содержат пользо-
вательской информации, которая и подлежит защите. Т. е., защи-
щённость СВТ представляет собой свойство существенно затруднять НСД к информации, обрабатываемой в АС.
Но если защита СВТ обеспечивается только комплексом про- граммно-технических средств, то защита АС дополнительно обеспечиваетсякомплексом поддерживающих их организационных мер.
РРРРРРРРРРРРРРРРРРРРРРРРРРРРРРРРР
Основное в разделении АС на классы– это:
–наличие в них информации различного уровня конфиденциальности;
–уровень полномочий субъектов доступа АС на допуск к конфиден-
циальной информации;
– режим обработки данных (коллективный или индивидуальный).
Устанавливается 9 классов защищенности АС от НСД, которые объединяются в 3 группы.
А) Первая группа – это многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности, и не все пользователи имеют право доступа ко всей информации; группа включает классы 1а, 1б, 1в, 1г, и 1д.
Б) Вторая группа – АС, в которых пользователи имеют одинако-
вые права доступа ко всей информации, обрабатываемой и (или) хранимой
на носителях различного уровня конфиденциальности. Группа включает в себя
классы 2а и 2б.
В) Третья группа – АС, в которых работает один пользователь, до-
пущенный ко всей информации, размещённой на носителях одного уровня
конфиденциальности. Группа включает классы 3а и 3б.
Список использованных источников
1 Романец Ю.В. и др. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин; Под ред. В.Ф. Шаньгина. – 2-е изд. – М.: Радио и связь, 2001. – 376 с.
2.Малюк А.А. и др. Введение в защиту информации в автоматизированных системах / А.А. Малюк, С.В. Пазизин, Н.С. Погожин. – М.: Горячая Линия – Те-
леком, 2001. – 148 с.
3.Чмора А.Л. Современная прикладная криптография. – М.: Гелиос АРВ, 2001. – 256 с.
4.Бабенко Л.К. и др. Защита информации с использованием смарт–карт и электронных брелоков / Л.К. Бабенко, С.С. Ищуков, О.Б. Макаревич. – М.: Гелиос АРВ, 2003.–352с.
5Теоретические основы компьютерной безопасности: Учеб. пособие / П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков. – М.: Радио и связь, 2000. – 192 с.
6Брагг Р. Система безопасности Windows 2000. – М.: Издательский дом «Виль-
ямс»,2001.–592с.
7Гостехкомиссия России. Руководящий документ. СВТ. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. – М.: Военное издательство, 1992.