Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных”.

49.

Федеральный закон от 7 августа 2001 г. № 119-ФЗ "Об аудиторской деятельности" (с изменениями и дополнениями).

Определяет правовые основы регулирования аудиторской деятельности в

Российской Федерации.

1. Аудиторская тайна: Аудиторские организации и индивидуальные аудиторы обязаны хранить тайну об операциях аудируемых лиц и лиц, которым оказывались сопутствующие аудиту услуги, сохранность сведений и документов, получаемых и (или) составляемых ими при осуществлении аудиторской деятельности, и не вправе передавать указанные сведения и документы или их копии третьим лицам без письменного согласия организаций и (или) индивидуальных предпринимателей

2.Аудит - независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности.

3. Аудитор - физическое лицо, получившее квалификационный аттестат аудитора и являющееся членом одной из саморегулируемых организаций аудиторов.

4. Аудиторское заключение - официальный документ, предназначенный для пользователей бухгалтерской (финансовой) отчетности аудируемых лиц, содержащий выраженное в установленной форме мнение аудиторской организации, индивидуального аудитора о достоверности бухгалтерской (финансовой) отчетности аудируемого лица.

5.Аудиторская организация - коммерческая организация, являющаяся членом одной из саморегулируемых организаций аудиторов.

50. Федеральный закон от 27 июля 2006 г. № 149-ФЗ. "Об информации, информационных технологиях и о защите информации"(вместо ФЗ от 20 февраля 1995 г. № 24-ФЗ. "Об информации, информатизации и защите информации" (с изменениями и дополнениями в соответствии с ФЗ от 10 января 2003 г. № 15-Ф3).)

Регулирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, применении информационных технологий, обеспечении защиты информации.

Определяет условия для эффективного участия России в международном информационном обмене в рамках единого мирового информационного пространства, защиту интересов России, ее субъектов и муниципальных объединений, а также физических и юридических лиц при международном информационном обмене.

Рассмотрим основные положения этого закона.

О части основных понятий, используемых в ФЗ уже говорилось.

8) предоставление информации - действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц;

9) распространение информации - действия, направленные на получение информации неопределенным кругом лиц или передачу информации неопределенному кругу лиц;

12) оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

 

Статья 5 п.2. отмечает, что информация подразделяется на общедоступную информацию, а также на информацию ограниченного доступа.

Далее понятие общедоступной информации раскрывается в статье 7.

К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен. Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

Важно, что согласно п.4 статьи 8, не может быть ограничен доступ к:

1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина

2) информации о состоянии окружающей среды;

3) информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств;

4) информации, накапливаемой в открытых фондах библиотек, музеев и архивов

5) иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

В статье 9 излагаются ограничения доступа к информации.

Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами. Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение. Информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (профессиональная тайна), подлежит защите в случаях, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами. Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом «О персональных данных»

Статья 6 посвящена обладателю информации. субъект Российской Федерации, муниципальное образование. Обладатель информации вправе:

1) разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

2) использовать информацию, в том числе распространять ее, по своему усмотрению;

3) передавать информацию другим лицам по договору или на ином установленном законом основании;

Далее в статье 13 п.3 «права обладателя информации, содержащейся в базах данных информационной системы, подлежат охране независимо от авторских и иных прав на такие базы данных».

Важны и обязанности обладателя информации:

1) соблюдать права и законные интересы иных лиц;

2) принимать меры по защите информации;

3) ограничивать доступ к информации, если такая обязанность установлена федеральными законами.

Статья 11 касается документированной информации.

Здесь важно отметить, что электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе.

Статья 12 о государственном регулировании в сфере применения ИТ гласит в частности, что оно предусматривает:

1) регулирование отношений, связанных с поиском, получением, передачей, производством и распространением информации с применением информационных технологий (информатизации);

2) развитие информационных систем различного назначения для обеспечения граждан самоуправления информацией, а также обеспечение взаимодействия таких систем;

3) создание условий для эффективного использования в Российской Федерации информационно-телекоммуникационных сетей, в том числе сети " Интернет "

Статья 13 об информационных системах (ИС) отмечает, что оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.

Особенности эксплуатации государственных информационных систем и муниципальных информационных систем могут устанавливаться в соответствии с техническими регламентами, нормативными правовыми актами государственных органов, нормативными правовыми актами органов местного самоуправления, принимающих решения о создании таких информационных систем. Порядок создания и эксплуатации информационных систем, не являющихся государственными ИС или муниципальными ИС, определяется операторами таких информационных систем в соответствии с требованиями, установленными настоящим Федеральным законом или другими федеральными законами.

Непосредственно государственных ИС касается статья 14. Здесь важно отметить, что технические средства, предназначенные для обработки информации, содержащейся в государственных ИС, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.

Наконец, статья 16. дает определение и посвящена защите информации.

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа,

3) реализацию права на доступ к информации.

Важно, что обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

Обращает на себя внимание п. 6 статьи 16., согласно которому, федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

В статье 17 устанавливается ответственность (дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством Российской Федерации) за правонарушения ИТ и защиты информации. Именно:

Лица, права и законные интересы которых были нарушены в связи с разглашением информации ограниченного доступа или иным неправомерным использованием такой информации, вправе обратиться в установленном порядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации.

Но при этом, требование о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или нарушившим установленные законодательством Российской Федерации требования о защите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.

За распространение информации ограниченного вида не несет лицо, оказывающее услуги:

1)либо по передаче информации, предоставленной другим лицом, при условии ее передачи без изменений и исправлений;

2) либо по хранению информации и обеспечению доступа к ней при условии, что это лицо не могло знать о незаконности распространения информации.

Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ “О персональных данных”.

Регулирует отношения, связанные с обработкой персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации.

Важно, что он не распространяется на отношения, возникающие при:

1) обработке персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных;

2) организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда РФ и других архивных документов в соответствии с законодательством об архивном деле в РФ;

3) обработке подлежащих включению в единый государственный реестр индивидуальных предпринимателей сведений о физических лицах, если такая обработка осуществляется в соответствии с законодательством РФ в связи с деятельностью физического лица в качестве индивидуального предпринимателя;

4) обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

В законе используются следующие основные понятия:

1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

11) трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

12) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

 

52. К закону было подготовлено Постановление Правительства РФ от 17 ноября 2007 г. N 781 «Об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных». ФСБ и ФСТЭК России подготовили и другие документы.

Положение устанавливает требования к обеспечению безопасности персональных данных при их обработке в информационных системах (ИС) персональных данных, представляющих собой совокупность персональных данных и информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации

Под техническими средствами, позволяющими осуществлять обработку персональных данных, понимаются средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных программные средства (, средства защиты информации, применяемые в информационных системах.

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

Методы и способы защиты информации в информационных системах устанавливаются Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности (ФСБ) Российской Федерации в пределах их полномочий. (Подготовлены в марте 2008года).

Безопасность персональных данных при их обработке в ИС обеспечивает оператор или уполномоченное лицо, которому на основании договора оператор поручает обработку персональных данных. Эти лица при обработке персональных данных в ИС должны обеспечить:

а) проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации;

б) своевременное обнаружение фактов несанкционированного доступа к персональным данным;

в) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

г) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

д) постоянный контроль за обеспечением уровня защищенности персональных данных.

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

а) определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

б) разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

в) проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации;

г) установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

д) обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

ё) учет лиц, допущенных к работе с персональными данными в информационной системе;

ж) контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

з) описание системы защиты персональных данных.

Важные разделы касаются разработчиков средств защиты информации, на которых возлагается реализация требований по обеспечению безопасности.

В отношении разработанных шифровальных (криптографических) средств защиты информации, проводятся тематические исследования и контрольные тематические исследования. При этом под тематическими исследованиями понимаются криптографические, инженерно-криптографические и специальные исследования средств защиты информации и специальные работы с техническими средствами информационных систем, а под контрольными тематическими исследованиями - периодически проводимые тематические исследования.

53 Нормативные документы и инструктивные материалы ФСТЭК (Гостехкомиссии) РФ:

1. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации». Руководящий документ Гостехкомиссии России,

2. «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники». Руководящий документ Гостехкомиссии России,

3. «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники». Руководящий документ Гостехкомиссии России,

4. «Защита информации. Специальные защитные знаки. Классификация и общие требования». Руководящий документ Гостехкомиссии России,

5. «Защита от несанкционированного доступа к информации. Термины и определения». Руководящий документ Гостехкомиссии России,

6. «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей». Руководящий документ Гостехкомиссии России,

7. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий. Часть 1. Часть 2. Часть 3. Руководящий документ Гостехкомиссии России,

8. «Инструкция о порядке проведения специальных экспертиз предприятий, учреждений и организаций на право осуществления мероприятий и (или) оказания услуг в области противодействия иностранной технической разведке». Утверждена Председателем Гостехкомиссии 17 октября 1995 г.

9. «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации». Руководящий документ Гостехкомиссии России,

10. Решение Гостехкомиссии от 3 октября 1995 г. № 42 «О типовых требованиях к содержанию и порядку разработки руководства по защите информации от технических разведок и от ее утечки по техническим каналам на объекте»,

11. Положение по аттестации объектов информатизации по требованиям безопасности информации. Утверждено Председателем Гостехкомиссии России 25 ноября 1994 г.

12. Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации. Утверждено Председателем Гостехкомиссии России 25 ноября 1994 г.

13. Типовое положение об органе по сертификации средств защиты информации по требованиям безопасности информации. Утверждено приказом председателя Гостехкомиссии России от 5 января 1996 года № 3,

14. Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации. Утверждено приказом председателя Гостехкомиссии России от 5 января 1996 года № 3,

15. Типовое положение об испытательной лаборатории. Утверждено приказом председателя Гостехкомиссии России от 5 января 1996 года № 3,

16. «Перечень средств защиты информации, подлежащих сертификации в системе сертификации Гостехкомиссии России» (N РОСС RU.0001.01БИ00);

17. «Положение о государственном лицензировании деятельности в области защиты информации». Утверждено Решением Государственной технической комиссии при Президенте Российской Федерации и Федерального агентства правительствен­ной связи и информации при Президенте Российской Федерации от 27.04.1994г. №10;

18. «Положение о сертификации средств защиты информации по требованиям безопасности информации». Введено в действие Приказом Председателя Гостехкомиссии России от 27.10.1995г. №199;

19. «Положение по аттестации объектов информатизации по требованиям безопасности информации». Утверждено Председателем Гостехкомиссии при Президенте Российской Федерации 25 ноября 1994 г.,

20. «Специальные требования и рекомендации по защите информации, составляющей государственную тайну, от утечки по техническим каналам (СТР-97)» от 23 мая 1997 г. № 55,

21. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Руководящий документ Гостехкомиссии России,

22. «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации». Руководящий документ Гостехкомиссии России.

23. «Средства защиты информации. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации». Руководящий документ Гостехкомиссии России;

24. Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР — К)»,

25. Средства защиты информации. Специальные и общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам. Руководящий документ Гостехкомиссии России,

26. «Положение о государственном лицензировании деятельности в области защиты информации». Утверждено решением Гостехкомиссии при Президенте Российской Федерации и ФАПСИ при Президенте Российской Федерации от 24 апреля 1994 г. № 10 (в редакции решения от 24 июня 1997 г. № 60);

54.Критерии безопасности компьютерных систем Министерства обороны США – "Оранжевая книга"

Критерии безопасности компьютерных систем (TCSEC – Trusted Computer System Evaluation Criteria), получившие неформальное, но прочно закрепившееся название " Оранжевая книга " были разработаны Министерством обороны США в 1983 году с целью определения требований безопасности, предъявляемых к аппаратному, программному и специальному обеспечению компьютерных систем и выработки соответствующей методологии и технологии анализа степени поддержки политики безопасности в компьютерных системах военного назначения.. Предложенные в этом документе концепции защиты и набор функциональных требований послужили основой для формирования всех появившихся впоследствии стандартов безопасности.

В "Оранжевой книге" предложены три категории требований безопасности – политика безопасности, аудит и корректность, в рамках которых сформулированы шесть базовых требований безопасности. Первые четыре требования направлены непосредственно на обеспечение безопасности информации, а два последних – на качество самих средств защиты. Рассмотрим эти требования подробнее.

Требование 1. Политика безопасности. Система должна поддерживать точно определенную политику безопасности. Возможность осуществления субъектами доступа к объектам должна определяться на основании их идентификации и набора правил управления доступом, позволяющая эффективно реализовать разграничение доступа к категорированной информации.

Требование 2. Метки. С объектами должны быть ассоциированы метки безопасности, используемые в качестве атрибутов контроля доступа. Для реализации нормативного управления доступом система должна обеспечивать возможность присваивать каждому объекту метку или набор атрибутов, определяющих степень конфиденциальности объекта и/или режимы доступа к этому объекту.

Требование 3. Идентификация и аутентификация. Все субъекты должны иметь уникальные идентификаторы. Контроль доступа должен осуществляться на основании результатов идентификации субъекта и объекта доступа, подтверждения подлинности их идентификаторов (аутентификация) и правил разграничения доступа. Данные, используемые для идентификации и аутентификации, должны быть защищены от несанкционированного доступа, модификации и уничтожения. Они должны быть ассоциированы со всеми активными компонентами компьютерной системы, функционирование которых критично с точки зрения безопасности.

Требование 4. Регистрация и учет. Для определения степени ответственности пользователей за действия в системе, все происходящие в ней события, имеющие значение с точки зрения безопасности, должны отслеживаться и регистрироваться в защищенном протоколе. Система регистрации должна осуществлять анализ общего потока событий и выделять из него только те события, которые оказывают влияние на безопасность. Это необходимо для сокращения объема протокола и повышения эффективности его анализа. Протокол событий должен быть надежно защищен от несанкционированного доступа, модификации и уничтожения.

Требование 5. Контроль корректности функционирования средств защиты. Средства защиты должны содержать независимые аппаратные функции защиты. Это означает, что все средства защиты, обеспечивающие политику безопасности, управление атрибутами и метками безопасности, идентификацию и аутентификацию, регистрацию и учет, должны находиться под контролем средств, проверяющих корректность их функционирования. Основной принцип контроля корректности состоит в том, что средства контроля должны быть полностью независимы от средств защиты.

Требование 6. Непрерывность защиты. Все средства защиты (в т.ч. и реализующие данное требование) должны быть защищены от несанкционированного вмешательства и/или отключения, причем эта защита должна быть постоянной и непрерывной в любом режиме функционирования системы защиты и компьютерной системы в целом. Данное требование распространяется на весь жизненный цикл компьютерной системы. Кроме того, его выполнение является одним из ключевых аспектов формального доказательства безопасности системы.

55. Все системы в соответствии с "Оранжевой книгой" распределяются по следующим классам защищенности (в порядке возрастания защищенности, более защищенный класс включает в себя все требования предыдущих классов):

Класс D – минимальная защита. Зарезервирован для отнесения систем, не удовлетворяющих ни одному из других классов защиты.

Класс С1 – защита, основанная на разграничении доступа (DAC). Обеспечивается разграничение пользователей и данных.

Класс С2 – защита, основанная на управляемом контроле доступом. Наличие усовершенствованных средств управления доступом и распространения прав, аудит событий, имеющих отношение к безопасности системы и разделению ресурсов. Общие ресурсы должны очищаться перед повторным использование другими процессами.

Класс В1 – мандатная защита, основанная на присваивании меток объектам и субъектам, находящимся под контролем ТСВ. Необходима реализация механизма присваивания меток экспортируемым данным.

Класс В2 – структурированная защита. Управление доступом распространяется на все субъекты и объекты системы. Анализ побочных каналов утечки информации. Специальные процедуры изменения конфигурации. Возможность тестирования и полного анализа ТСВ. Разбиение ее структуры на критические с точки зрения защиты и некритические элементы.

Класс В3 – домены безопасности. Реализация концепции монитора обращений, который гарантированно защищен от несанкционированного доступа, порчи и подделки, обрабатывает все обращения, прост для анализа и тестирования (предоставляется полная система тестов, полнота которой доказана).

Класс А1 – верифицированный проект. Проект ТСВ должен быть представлен в виде формализованной и верифицированной математическими методами спецификации.

 

Выбор класса защиты системы рекомендуется осуществлять на основе ее режима функционирования. Определяется пять таких режимов:

1. Режим, в котором система постоянно обрабатывает ценную информацию одного класса в окружении, которое обеспечивает безопасность для работы с этим классом.

2. Режим особой секретности самой системы. Все пользователи и элементы системы имеют один класс и могут получить доступ к любой информации.

3. Многоуровневый режим. Обработка информации разных классов, не все пользователи имеют доступ ко всем классам информации.

4. Контролирующий режим. Многоуровневый режим, в котором защищенность ТСВ полностью не гарантируется.

5. Режим изолированной безопасности. Изолированная обработка информации различных классов. Например, защищаться может лишь один класс информации, а остальные нет.

Основой для выбора класса является индекс риска: разность между максимальным классом (грифом) информации и минимальным классом пользователей. Чем выше разность, тем больший класс защиты требуется.

Следует отметить, что "Критерии безопасности компьютерных систем" Министерства обороны США представляют собой первую попытку создать единый стандарт безопасности, рассчитанный на разработчиков, потребителей и специалистов по сертификации компьютерных систем.

Основной отличительной чертой этого документа является его ориентация на системы военного применения, причем в основном на операционные системы

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...