Раздел3_11

идей и для других целей, не связанных с выполнением служебных обязанностей.

5 ЭП не может использоваться для создания оскорбительных или прово-

кационных сообщений. Таковыми считаются в том числе сообщения, содержащие сексуальные домогательства, расовые оскорбления, дискриминацию по половому признаку или другие комментарии, затрагивающие в оскорбительной форме вопросы возраста, религиозные или политические пристрастия, национальность или состояние здоровья.

6 Система ЭП не должна использоваться для передачи (выгрузки)

или получения (загрузки) материалов, защищённых авторским правом,

торговых секретов, внутренней финансовой информации или аналогичных документов лицами, не имеющими соответствующих полномочий.

7 Организация оставляет за собой право просматривать, контролировать, перехватывать, изымать и разглашать все сообще-

ния, созданные, полученные или переданные с помощью системы ЭП с любой целью. Содержание сообщения ЭП, даже полученного в рамках выполнения служебных обязанностей, может быть доведено до сведения уполномоченных лиц в пределах организации без разрешения сотрудника.

8 Никакое сообщение не может считаться конфиденциальным

для организации. Использование шифрования в целях защиты не гарантирует конфиденциальности. Все ключи должны быть предоставлены организации, в противном случае они объявляются незаконными и применяться не могут.

9 Несмотря на то что организация имеет право извлекать и читать все сооб-

щения ЭП, такие сообщения должны рассматриваться как конфиденциаль-

ные другими сотрудниками организации, и получить к ним доступ может только сотрудник, которому эти сообщения адресованы. Любое исключение из этого правила возможно при разрешении руководстваорганизации.

10 Временная шкала на компьютерах организации устанавли-

вается централизованно. Сотрудник не вправе устанавливать собственное

время на личном компьютере.

11 Любой сотрудник, которому стало известно о нарушении правил, изложенных в данном документе, должен уведомить об этом

службу безопасности.

12 Любой сотрудник, нарушивший эти правила или использующий си-

стему электронной почты в незаконных целях, будет подвергнут дисциплинар-

ному наказанию, вплоть до увольнения.

3.6 Общая характеристика отечественных и международных нормативных документов

Нормативные документы по защите информации появились в СССР ещё в 60-е годы ХХ века, но комплексный документ по этому направлению впервые появился в США, где в 1985 г. были утверждены «Критерии оценки гарантированной защищенности вычислительной системы» (так

называемая «Оранжевая книга»). В 1987 г. были приняты дополнения по оценке защищенности сетей, а в 1989 г. – по оценке защищенности СУБД.

В Европейском Союзе стал действовать согласованный между Францией, Великобританией, ФРГ и Голландией документ (1991 г.):

«Критерии оценки безопасности информационных технологий».

Международная организация по стандартизации ISO утвердила в

качестве международного стандарта «Единые критерии безопас-

ности информационных технологий».

В 1992 г. Гостехкомиссия (ГТК) при Президенте РФ разработала 5

руководящих документов, посвященных защите информации в АС и её об-

работки. Они являются составляющей организационно-правового обеспечения безопасности информации. На соответствие требованиям

этих документов оценивается качество СВТ, связи и АС [2].

Ныне приемник ГТК – это ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ТЕХ-

НИЧЕСКОМУ И ЭКСПОРТНОМУ КОНТРОЛЮ.

Российским аналогом «Оранжевой книги» служит руководящий до-

кумент ГТК России «СВТ. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» [7].

Технические средства, на которые распространялось действие этого документа, функционируют и по сей день.

Но наиболее полно критерии оценки механизмов безопасности

программно-технического уровня ПРЕДСТАВЛЕНЫ В ГОСТ Р ИСО/МЭК 15408–2002, принятом в 2002 году и вступившем в действие в

2004 году.

Данный документ призван заменить руководящие документы

(РД) Гостехкомиссии РФ: «Автоматизированные системы. Защита от НСД

кинформации. Классификация автоматизированных систем и требования по защите информации», «Средства вычислительной техники. Защита от НСД

кинформации. Показатели защищённости от НСД к информации», – как

устаревшие и не отвечающие мировым стандартам безопасности ин-

формационных технологий.

ДОКУМЕНТЫ ГТК РФ 1992 г. устанавливали 7 классов за-

щищенности СВТ от НСД к информации. Наивысшему уровню защищённо-

сти соответствует 1-й класс. Классы объединяются в группы, отличаю-

щиеся качественным уровнем защиты. Есть ЧЕТЫРЕ ГРУППЫ:

а) первая группа – содержит только 7-й класс, к которому ПРЕДЪ-

ЯВЛЯЮТСЯ требования по защите, но при оценке защищённость СВТ оказывается ниже уровня требований 6-го класса;

б) вторая группа – характеризуется ДИСКРЕЦИОННОЙ защи-

той, при которой контролируется доступ пользователей и их программ к ресур-

сам СВТ на основе матрицы доступа. Группа включает 6-й и 5-й классы.

В) Третья группа – характеризуется МАНДАТНОЙ защитой, т.

е. определённым классификационным уровнем (уровнем уязвимости, категорий секретности, и т. д.). Группа включает в себя 4-й, 3-й и 2-й классы.

Д) Четвертая группа – характеризуется ГАРАНТИЯМИ АРХИТЕКТУРЫи включает только 1-й класс.

Отнесение СВТ к конкретной группе выполняется С ПОМО-

ЩЬЮ ТАБЛИЦЫ, колонки которой представляют собой классы защищённости, а по строкам указаны показатели защищённости.

Наличие или отсутствие тех или иных показателей относило СВТ к конкрет-

ному классу.

То есть, классификация СВТ по уровню защищённости от НСД к инфор-

мации устанавливается на основе перечня показателей защищенности и

совокупности описывающих их требований.

Под СВТ понимается совокупность программных и технических ЭЛЕМЕНТОВ систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ).

ИЗОЛЯЦИЯ МОДУЛЕЙ, требуемая с 4-го класса, отражает НЕ-

ВЛИЯНИЕ СУБЪЕКТОВ друг на друга.

ГАРАНТИИ ПРОЕКТИРОВАНИЯ и ЦЕЛОСТНОСТЬ КСЗ фак-

тически отражают гарантии выполнения политики безопасности

(требуется с 5-го класса).

В качестве характеристик защищённости используется 21 пока-

затель (очистка памяти, идентификация и аутентификация, регистрация,

изоляция модулей, целостность криптографических средств защиты, тести-

рование, гарантии проектирования, наличие соответствующей документа-

ции и т. д.).

Но в АС ТРЕБОВАНИЯ ПО ЗАЩИТЕ информации от НСД несколь-

ко ОТЛИЧАЮТСЯ от требований для СВТ. Это объясняется тем, что

СВТ разрабатываются и поставляются на рынок как элементы, из

которых в дальнейшем проектируется АС.

Поэтому, не решая прикладных задач, СВТ не содержат пользо-

вательской информации, которая и подлежит защите. Т. е., защи-

щённость СВТ представляет собой свойство существенно затруднять НСД к информации, обрабатываемой в АС.

Но если защита СВТ обеспечивается только комплексом про- граммно-технических средств, то защита АС дополнительно обеспечиваетсякомплексом поддерживающих их организационных мер.

РРРРРРРРРРРРРРРРРРРРРРРРРРРРРРРРР

Основное в разделении АС на классы– это:

–наличие в них информации различного уровня конфиденциальности;

–уровень полномочий субъектов доступа АС на допуск к конфиден-

циальной информации;

– режим обработки данных (коллективный или индивидуальный).

Устанавливается 9 классов защищенности АС от НСД, которые объединяются в 3 группы.

А) Первая группа – это многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности, и не все пользователи имеют право доступа ко всей информации; группа включает классы 1а, 1б, 1в, 1г, и 1д.

Б) Вторая группа – АС, в которых пользователи имеют одинако-

вые права доступа ко всей информации, обрабатываемой и (или) хранимой

на носителях различного уровня конфиденциальности. Группа включает в себя

классы 2а и 2б.

В) Третья группа – АС, в которых работает один пользователь, до-

пущенный ко всей информации, размещённой на носителях одного уровня

конфиденциальности. Группа включает классы 3а и 3б.

Список использованных источников

1 Романец Ю.В. и др. Защита информации в компьютерных системах и сетях / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин; Под ред. В.Ф. Шаньгина. – 2-е изд. – М.: Радио и связь, 2001. – 376 с.

2.Малюк А.А. и др. Введение в защиту информации в автоматизированных системах / А.А. Малюк, С.В. Пазизин, Н.С. Погожин. – М.: Горячая Линия – Те-

леком, 2001. – 148 с.

3.Чмора А.Л. Современная прикладная криптография. – М.: Гелиос АРВ, 2001. – 256 с.

4.Бабенко Л.К. и др. Защита информации с использованием смарт–карт и электронных брелоков / Л.К. Бабенко, С.С. Ищуков, О.Б. Макаревич. – М.: Гелиос АРВ, 2003.–352с.

5Теоретические основы компьютерной безопасности: Учеб. пособие / П.Н. Девянин, О.О. Михальский, Д.И. Правиков, А.Ю. Щербаков. – М.: Радио и связь, 2000. – 192 с.

6Брагг Р. Система безопасности Windows 2000. – М.: Издательский дом «Виль-

ямс»,2001.–592с.

7Гостехкомиссия России. Руководящий документ. СВТ. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации. – М.: Военное издательство, 1992.