- •Требования к защите компьютерной информации Общие положения
- •Классификация требований к системам защиты
- •Формализованные требования к защите и их классификация
- •1 .Подсистема управления доступом
- •2.Подсистема регистрации и учета
- •3.Криптографическая подсистема
- •4.Подсистема обеспечения целостности
- •Требования к защите конфиденциальной информации
- •Требования к защите секретной информации
Требования к защите секретной информации
Подсистема управления доступом должна:
1.Идентифицировать и проверять подлинность субъектов доступа привходе в систему.Причем это должно осуществляться по идентификатору (коду)и паролю условно-постоянного действия длиной неменее шести буквенно-цифровых символов.
2.Идентифицировать терминалы,ЭВМ,узлы компьютерной сети,каналы связи,внешние устройства ЭВМ по их логическим адресам(номерам).
3.По именам идентифицировать программы,тома,каталоги,файлы,записи и поля записей.
4.Осуществлять контроль доступа субъектов к защищаемым ресурсамв соответствии с матрицей доступа.
5.Управлять потоками информации с помощью меток конфиденциальности.При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой нанего информации.
Подсистема регистрации и учета должна:
1.Регистрировать вход (выход)субъектов доступа в систему (из системы)либо регистрировать загрузку и инициализацию операционнойсистемы и ее программного останова.
6.Регистрировать изменения полномочий субъектов доступа,а такжестатуса объектов доступа.В параметрах регистрации указывается:
• дата и время изменения полномочий;
• идентификатор субъекта доступа (администратора),осуществившего изменения.
7.Осуществлять автоматический учет создаваемых защищаемых файлов с помощью их дополнительной маркировки,используемой вподсистеме управления доступом.Маркировка должна отражатьуровень конфиденциальности объекта.
8.Проводить учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал(учетную карточку).
9.Проводить учет защищаемых носителей с регистрацией их выдачи(приема)в специальном журнале (картотеке).
10.Проводить несколько видов учета (дублирующих)защищаемых носителей информации.
11.Осуществлять очистку (обнуление,обезличивание)освобождаемыхобластей оперативной памяти ЭВМ и внешних накопителей.Причем очистка должна осуществляется двукратной произвольной записью в освобождаемую область памяти,ранее использованную дляхранения защищаемых данных (файлов).
12.Сигнализировать о попытках нарушения защиты.
Подсистема обеспечения целостности должна:
Предусматривать наличие администратора или целой службы защиты информации,ответственных за ведение,нормальное функционирование и контроль работы СЗИ НСД.Администратор должениметь свой терминал и необходимые средства оперативного контроля и воздействия на безопасность АС.
4.Проводить периодическое тестирование функций СЗИ НСД приизменении программной среды и персонала АС с помощью специальных программных средств не реже одного раза в год.
5.Иметь в наличии средства восстановления СЗИ НСД,предусматривающие ведение двух копий программных средств СЗИ НСД и ихпериодическое обновление и контроль работоспособности.
6.Использовать только сертифицированные средства защиты.Их сертификацию проводят специальные сертификационные центры илиспециализированные предприятия,имеющие лицензию на проведение сертификации средств защиты СЗИ НСД.
Дополнительным требованием и принципиальным отличием при защитесекретной информации является то,что механизмом защиты должноосуществляться управление потоками информации с помощью метокконфиденциальности.При этом уровень конфиденциальности накопителя должен быть не ниже уровня конфиденциальности записываемой нанего информации.
Отличия конф от секр. Все права доступа к ресурсам (разграничительная политика доступа к ресурсам)задаются для конкретного субъекта доступа (пользователя).Поэтому субъект доступа (пользователь)долженбыть идентифицирован при входе в систему,соответственно,должна бытьпроконтролирована его подлинность.Обычно это делается путем использования секретного слова — пароля.