Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.

Вторая группа включает АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса - 2Б и 2А.

Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

(11 вопрос) Законодательная деятельность ФСТЭК

· разрабатывает и вносит в установленном порядке Президенту РФ и в Правительство РФ проекты законодательных и иных нормативных правовых актов по вопросам своей деятельности;

· издаёт нормативные правовые акты по вопросам своей деятельности;

· разрабатывает и утверждает в пределах своей компетенции методические документы, организует их издание за счёт средств, выделяемых из федерального бюджета ФСТЭК России на эти цели;

· вносит в установленном порядке представления о применении мер ответственности за нарушения законодательства Российской Федерации по вопросам своей деятельности;

· организует и проводит лицензирование деятельности по осуществлению мероприятий и (или) оказанию услуг в области защиты государственной тайны (в части, касающейся противодействия техническим разведкам и (или) технической защиты информации), по созданию средств защиты информации, содержащей сведения, составляющие государственную тайну, по технической защите конфиденциальной информации, по разработке и (или) производству средств защиты конфиденциальной информации, а также лицензирование иных видов деятельности в соответствии с законодательством Российской Федерации;

· организует в соответствии с законодательством Российской Федерации государственную аккредитацию организаций, создавших внутрифирменные программы экспортного контроля, и выдает им свидетельства о государственной аккредитации;

 

СТР-К

1. Настоящий документ устанавливает порядок организации работ, требования и рекомендации по обеспечению технической защиты конфиденциальной информации на территории Российской Федерации и является основным руководящим документом в этой области для федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, предприятий, учреждений и организаций (далее - учреждения и предприятия) независимо от их организационно-правовой формы и формы собственности, должностных лиц и граждан Российской Федерации, взявшим на себя обязательства либо обязанными по статусу исполнять требования правовых документов Российской Федерации по защите информации.

 

2. Требования и рекомендации настоящего документа распространяются на защиту:

· конфиденциальной информации - информации с ограниченным доступом, за исключением сведений, отнесенных к государственной тайне и персональным данным, содержащейся в государственных (муниципальных) информационных ресурсах, накопленной за счет государственного (муниципального) бюджета и являющейся собственностью государства (к ней может быть отнесена информация, составляющая служебную тайну и другие виды тайн в соответствии с законодательством Российской Федерации, а также сведения конфиденциального характера в соответствии с "Перечнем сведений конфиденциального характера", утвержденного Указом Президента Российской Федерации от 06.03.97 №188), защита которой осуществляется в интересах государства (далее - служебная тайна);

· информации о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющей идентифицировать его личность (персональные данные)

3. Для защиты конфиденциальной информации, содержащейся в негосударственных информационных ресурсах, режим защиты которой определяет собственник этих ресурсов (например, информации, составляющей коммерческую, банковскую тайну), данный документ носит рекомендательный характер.

4. Документ определяет следующие основные вопросы защиты информации:

· организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации;

· состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;

· требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств;

· требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств;

· порядок обеспечения защиты информации при эксплуатации объектов информатизации;

· особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии;

· порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования.

5. Защита информации, обрабатываемой с использованием технических средств, является составной частью работ по созданию и эксплуатации объектов информатизации различного назначения и должна осуществляться в установленном настоящим документом порядке в виде системы (подсистемы) защиты информации во взаимосвязи с другими мерами по защите информации.

6. Защите подлежит информация, как речевая, так и обрабатываемая техническими средствами, а также представленная в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, оптической и иной основе, в виде информационных массивов и баз данных в АС.

Защищаемыми объектами информатизации являются:

· средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации;

· технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует);

· защищаемые помещения.

7. Защита информации должна осуществляться посредством выполнения комплекса мероприятий и применение (при необходимости) средств ЗИ по предотвращению утечки информации или воздействия на нее по техническим каналам, за счет несанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств.

8. При ведении переговоров и использовании технических средств для обработки и передачи информации возможны следующие каналы утечки и источники угроз безопасности информации:

· акустическое излучение информативного речевого сигнала;

· электрические сигналы, возникающие посредством преобразования информативного сигнала из акустического в электрический за счет микрофонного эффекта и распространяющиеся по проводам и линиям, выходящими за пределы КЗ;

· виброакустические сигналы, возникающие посредством преобразования информативного акустического сигнала при воздействии его на строительные конструкции и инженерно-технические коммуникации защищаемых помещений;

· несанкционированный доступ и несанкционированные действия по отношению к информации в автоматизированных системах, в том числе с использованием информационных сетей общего пользования;

· воздействие на технические или программные средства информационных систем в целях нарушения конфиденциальности, целостности и доступности информации, работоспособности технических средств, средств защиты информации посредством специально внедренных программных средств;

· побочные электромагнитные излучения информативного сигнала от технических средств, обрабатывающих конфиденциальную информацию, и линий передачи этой информации;

· наводки информативного сигнала, обрабатываемого техническими средствами, на цепи электропитания и линии связи, выходящие за пределы КЗ;

· радиоизлучения, модулированные информативным сигналом, возникающие при работе различных генераторов, входящих в состав технических средств, или при наличии паразитной генерации в узлах (элементах) технических средств;

· радиоизлучения или электрические сигналы от внедренных в технические средства и защищаемые помещения специальных электронных устройств перехвата речевой информации "закладок", модулированные информативным сигналом;

· радиоизлучения или электрические сигналы от электронных устройств перехвата информации, подключенных к каналам связи или техническим средствам обработки информации;

· прослушивание ведущихся телефонных и радиопереговоров;

· просмотр информации с экранов дисплеев и других средств ее отображения, бумажных и иных носителей информации, в том числе с помощью оптических средств;

· хищение технических средств с хранящейся в них информацией или отдельных носителей информации.

9. Перехват информации или воздействие на нее с использованием технических средств могут вестись:

· из-за границы КЗ из близлежащих строений и транспортных средств;

· из смежных помещений, принадлежащих другим учреждениям (предприятиям) и расположенным в том же здании, что и объект защиты;

· при посещении учреждения (предприятия) посторонними лицами;

· за счет несанкционированного доступа (несанкционированных действий) к информации, циркулирующей в АС, как с помощью технических средств АС, так и через информационные сети общего пользования.

10. В качестве аппаратуры перехвата или воздействия на информацию и технические средства могут использоваться портативные возимые и носимые устройства, размещаемые вблизи объекта защиты либо подключаемые к каналам связи или техническим средствам обработки информации, а также электронные устройства перехвата информации "закладки", размещаемые внутри или вне защищаемых помещений.

11. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней, но находящимся в пределах КЗ. Это возможно, например, вследствие:

· непреднамеренного прослушивания без использования технических средств конфиденциальных разговоров из-за недостаточной звукоизоляции ограждающих конструкций защищаемых помещений и их инженерно-технических систем;

· случайного прослушивания телефонных разговоров при проведении профилактических работ в сетях телефонной связи;

· некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычислительных сетей;

· просмотра информации с экранов дисплеев и других средств ее отображения.

12. Выявление и учет факторов воздействующих или могущих воздействовать на защищаемую информацию (угроз безопасности информации) в конкретных условиях, в соответствии с ГОСТ Р 51275-99, составляют основу для планирования и осуществления мероприятий, направленных на защиту информации на объекте информатизации.

Перечень необходимых мер защиты информации определяется по результатам обследования объекта информатизации с учетом соотношения затрат на защиту информации с возможным ущербом от ее разглашения, утраты, уничтожения, искажения, нарушения санкционированной доступности информации и работоспособности технических средств, обрабатывающих эту информацию, а также с учетом реальных возможностей ее перехвата и раскрытия ее содержания.

13. Основное внимание должно быть уделено защите информации, в отношении которой угрозы безопасности информации реализуются без применения сложных технических средств перехвата информации:

· речевой информации, циркулирующей в защищаемых помещениях;

· информации, обрабатываемой средствами вычислительной техники, от несанкционированного доступа и несанкционированных действий;

· информации, выводимой на экраны видеомониторов;

· информации, передаваемой по каналам связи, выходящим за пределы КЗ.

14. Разработка мер и обеспечение защиты информации осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководством предприятия (учреждения) для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии Гостехкомиссии России и/или ФАПСИ на право оказания услуг в области защиты информации.

15. Для защиты информации рекомендуется использовать сертифицированные по требованиям безопасности информации технические средства обработки и передачи информации, технические и программные средства защиты информации.

При обработке документированной конфиденциальной информации на объектах информатизации в органах государственной власти Российской Федерации и органах государственной власти субъектов Российской Федерации, других государственных органах, предприятиях и учреждениях средства защиты информационных систем подлежат обязательной сертификации.

16. Объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации.

17. Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей учреждений и предприятий, эксплуатирующих объекты информатизации.

 

(12,13 вопросы) ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью.

 

 

1 Область применения

Настоящий стандарт устанавливает рекомендации по управлению информационной безопасностью

лицам, ответственным за планирование, реализацию или поддержку решений безопасности в орга­

низации. Он предназначен для обеспечения общих основ для разработки стандартов безопасности и

выбора практических мероприятий по управлению безопасностью в организации, а также в интересах

обеспечения доверия в деловых отношениях между организациями. Рекомендации настоящего стандарта

следует выбирать и использовать в соответствии с действующим законодательством.

2 Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

2.1 информационная безопасность: Защита конфиденциальности, целостности и доступности

информации.

Примечания

1 конфиденциальность: Обеспечение доступа к информации только авторизованным пользователям.

2 целостность: Обеспечение достоверности и полноты информации и методов ее обработки.

3 доступность: Обеспечение доступа к информации и связанным с ней активам авторизованных

пользователей по мере необходимости.

2.2 оценка рисков: Оценка угроз, их последствий, уязвимости информации и средств ее обработки,

а также вероятности их возникновения.

2.3 управление рисками: Процесс выявления, контроля и минимизации или устранения рисков

безопасности, оказывающих влияние на информационные системы, в рамках допустимых затрат.

3 Политика безопасности

3.1 Политика информационной безопасности

Цель: обеспечение решения вопросов информационной безопасности и вовлечение высшего

руководства организации в данный процесс.

Разработка и реализация политики информационной безопасности организации осуществляется

высшим руководством путем выработки четкой позиции в решении вопросов информационной безопас­

ности.

3.1.1 Документальное оформление

Политика информационной безопасности должна быть утверждена, издана и надлежащим образом

доведена до сведения всех сотрудников организации. Она должна устанавливать ответственность

 

руководства, а также излагать подход организации к управлению информационной безопасностью. Как

минимум, политика должна включать следующее:

а) определение информационной безопасности, ее общих целей и сферы действия, а также

раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного

использования информации;

б) изложение целей и принципов информационной безопасности, сформулированных руко

водством;

в) краткое изложение наиболее существенных для организации политик безопасности,

принципов, правил и требований, например:

1) соответствие законодательным требованиям и договорным обязательствам;

2) требования в отношении обучения вопросам безопасности;

3) предотвращение появления и обнаружение вирусов и другого вредоносного программного

обеспечения;

4) управление непрерывностью бизнеса;

5) ответственность за нарушения политики безопасности;

г) определение общих и конкретных обязанностей сотрудников в рамках управления инфор

мационной безопасностью, включая информирование об инцидентах нарушения информационной

безопасности;

д) ссылки на документы, дополняющие политику информационной безопасности, например,

более детальные политики и процедуры безопасности для конкретных информационных систем, а также

правила безопасности, которым должны следовать пользователи,

Такая политика должна быть доведена до сведения всех сотрудников организации в доступной и

понятной форме.

3.1.2 Пересмотр и оценка

Необходимо, чтобы в организации назначалось ответственное за политику безопасности должност­

ное лицо, которое отвечало бы за ее реализацию и пересмотр в соответствии с установленной процеду­

рой. Указанная процедура должна обеспечивать осуществление пересмотра политики информационной

безопасности в соответствии с изменениями, влияющими на основу первоначальной оценки риска,

например, путем выявления существенных инцидентов нарушения информационной безопасности,

появление новых уязвимостей или изменения организационной или технологической инфраструктуры.

Периодические пересмотры должны осуществляться в соответствии с установленным графиком и

включать:

- проверку эффективности политики, исходя из характера, числа и последствий зарегистрированных

инцидентов нарушения информационной безопасности;

- определение стоимости мероприятий по управлению информационной безопасностью и их влия­

ние на эффективность бизнеса;

- оценку влияния изменений в технологиях.

 

4 Организационные вопросы безопасности

 

5 Классификация и управление активами

 

 

6 Вопросы безопасности, связанные с персоналом

 

7 Физическая защита и защита от воздействий окружающей среды

 

 

8 Управление передачей данных и операционной деятельностью

 

 

9 Контроль доступа сотрудниками

 

11 Управление непрерывностью бизнеса

11.1 Вопросы управления непрерывностью бизнеса

Цель: противодействие прерываниям бизнеса и защита критических бизнес-процессов от после­

дствий при значительных сбоях или бедствиях,

Необходимо обеспечивать управление непрерывностью бизнеса с целью минимизации отрица­

тельных последствий, вызванных бедствиями и нарушениями безопасности (которые могут быть

результатом природных бедствий, несчастных случаев, отказов оборудования и преднамеренных

действий), до приемлемого уровня с помощью комбинирования профилактических и восстановительных

мероприятий по управлению информационной безопасностью.

Последствия от бедствий, нарушений безопасности и отказов в обслуживании необходимо анали­

зировать, Необходимо разрабатывать и внедрять планы обеспечения непрерывности бизнеса с целью

восстановления бизнес-процессов в течение требуемого времени при их нарушении. Такие планы следует

поддерживать и применять на практике, чтобы они стали составной частью всех процессов управления.

Необходимо, чтобы управление непрерывностью бизнеса включало мероприятия по управлению

информационной безопасностью для идентификации и уменьшения рисков, ограничения последствий

разрушительных инцидентов и обеспечения своевременного возобновления наиболее существенных

бизнес-операций.

 

(14 Вопрос) ИСО/МЭК 15408-2002. Общие критерии оценки защищённости информационных технологий.

 

Годом рождения стандарта можно считать 1990-й - именно тогда были начаты работы по созданию стандарта в области оценки безопасности информационных технологий (ИТ) под эгидой Международной организации по стандартизации (ИСО). Этот документ и был переведен и взят за основу при разработке ГОСТ/ИСО МЭК 15408-2002. Название стандарта сложилось исторически. Работы над ним велись при содействии государственных организаций по стандартизации США, Канады, Великобритании, Франции, Германии и Голландии и преследовали следующие концептуальные цели:

унификация различных национальных стандартов в области оценки безопасности ИТ;

повышение уровня доверия к оценке безопасности ИТ;

сокращение затрат на оценку безопасности ИТ на основе взаимного признания сертификатов.

 

Заметим также, что спецификации стандарта обобщили основные положения и опыт использования "Оранжевой книги" и ее интерпретаций, развили оценочные уровни доверия Европейских критериев, воплотили концепцию типовых профилей защиты Федеральных критериев США. Именно потому стандарт и получил название "Общие критерии" (ОК). Первая его версия датирована январем 1996 г., в мае 1998 г. появляется вторая версия ОК, и, наконец, в июне 1999 г. был принят международный стандарт ИСО/МЭК 15408.

 

Следует подчеркнуть, что положения ОК имеют достаточно обобщенный характер. По сути, "Общие критерии" не содержат определенных требований к конкретным системам защиты информации, а представляют собой некий набор определений и правил, в рамках которых можно описывать различные системы защиты. На основе ОК потребитель может сам оценить встроенные в приобретаемое ПО механизмы защиты и их достаточность для его нужд. Документ полезен и как руководство при разработке, причем не только специализированных средств защиты, но и любого ПО или аппаратных средств с функциями безопасности.

 

Как упоминалось выше, российский стандарт носит название ГОСТ Р ИСО/МЭК 15408 "Общие критерии оценки безопасности информационных технологий" и представляет собой точный перевод международного стандарта. Он принят постановлением Госстандарта России от 4.04.2002 г. № 133-ст с датой введения в действие 1 января 2004 г. Заметим, что появление этого ГОСТ отражает не только процесс совершенствования российских стандартов с использованием международного опыта, но и часть правительственной программы по вступлению России в ВТО (как известно, при вступлении в эту организацию в стране-претенденте должны быть унифицированы пошлины, налоги, стандарты на производство, стандарты качества и некоторые стандарты в области информационной безопасности).

 

"Общие критерии" заставляют отказаться от привычного нам представления, что функции защиты реализуют только специализированные средства. Общаясь на одном для всех языке ОК, производители и потребители любого ПО смогут оценить, насколько используемые в нем механизмы защиты отвечают требованиям политики безопасности организации. Кроме того, аудиторы, контролирующие адекватность мер безопасности, а также сотрудники уполномоченных органов, проводящих аттестацию систем ИТ, смогут оценивать выполнение требований по безопасности не отдельных компонентов, а системы в целом, причем в конкретной среде ее функционирования.

Основные понятия

 

Если попытаться кратко сформулировать главную концепцию "Общих критериев", то, скорее всего, она будет выглядеть как "угрозы и профили". Окружающий нас мир не просто не идеален, он опасен. И эксплуатируемые в нем комплексные системы и ПО буквально со всех сторон окружают угрозы. В зависимости от того, в каких условиях эксплуатируется конкретный ИТ-объект (например, подключена ли данная система к сетям общего пользования или функционирует автономно), к нему можно предъявить столь же конкретный перечень требований к защите, т. е. формализовать так называемый профиль защиты. Такие требования могут быть сформулированы пользователем в техническом задании на разработку или сформированы самостоятельно создателем системы или средства. В процессе сертификации некой системы по ОК сертифицирующий орган рассматривает документ, который называется "задание по безопасности", - представляемый разработчиком системы в органы сертификации перечень требований к данной системе по безопасности. Сертификат подтверждает факт наличия в системе функционала, выполняющего заявленные требования по безопасности.

Профили

 

Профиль защиты - одно из основных понятий "Общих критериев". В тексте стандарта это понятие определяется следующим образом: "Независимая от реализации совокупность требований безопасности для некоторой категории продуктов или ИТ-систем, отвечающая специфическим запросам потребителя".

 

Можно сказать, что в привычных терминах профиль имеет много общего с техническим заданием. Все очень похоже - то же самое описание функционала будущей системы защиты информации (СЗИ), причем минимально привязанное к конкретной реализации (теоретически никак не привязанное). Вообще говоря, профиль допускается создавать как непосредственно для продукта, который представляет собой СЗИ, так и для защитной подсистемы какого-либо (практически любого) программного продукта. Более того, можно написать один профиль для целой совокупности программных продуктов. Так, существуют профили (на сегодняшний день только в виде проектов) для межсетевых экранов, профиль для СУБД (по сути, набор требований по безопасности для защиты СУБД), для клиентской ОС и т. д.

Каталог ФБО

 

Все механизмы защиты, описанные в профиле, называются функциями безопасности объекта (ФБО). Автор профиля не выдумывает ФБО, а берет их из специального "каталога" функций безопасности, который входит составной частью в "Общие критерии" (2-я часть ГОСТ). В данном "каталоге" функции безопасности описаны достаточно жестко и формально. В то же время в этих спецификациях приведены формальные и жесткие правила, которые позволяют "модернизировать" функции безопасности, по сути - уточнить и конкретизировать, сделав их адекватными требованиям к конкретному механизму защиты.

 

В частности, стандарт предусматривает такие операции, как "уточнение" и "выбор". Операция "уточнение" используется для добавления к требованию некоторых подробностей (деталей), а операция "выбор" - для выбора одного или нескольких элементов из перечня в формулировке требования.

Угрозы, политики и предположения безопасности

 

Но и набор функций безопасности не формируется автором профиля защиты "из головы". Согласно ОК, в профиль защиты включаются только те функции безопасности, которые должны защищать от угроз и соответствовать политике безопасности. Отсутствие всех остальных функций безопасности "объясняется" предположениями безопасности.

 

Предположения безопасности - это описание конкретных условий, в которых будет эксплуатироваться система. Например, компьютер с установленной программой должен стоять в помещении, находящемся под охраной. В дальнейшем на основе предположений можно, например, отсекать часть угроз как нереализуемых в данных условиях эксплуатации информационной системы. Другой пример предположения - требования к эксплуатации программного продукта, выполняющего шифрование и расшифровывание данных на диске после идентификации и аутентификации пользователя по имени и паролю. Очевидно, что злоумышленник способен получить доступ к данным, если сможет "перехватить" пароль и имя пользователя с помощью программ-закладок. Однако защита от этой угрозы уже выходит за рамки действия простого ПО шифрования данных (это скорее требование к "доверенной операционной системе"). Поэтому для сужения требований функционала к ПО шифрования вводится предположение безопасности, которое формулируется так: "Предполагается, что программная и аппаратная среда функционирования является доверенной". Введя такое предположение, разработчик профиля защиты для ПО шифрования сокращает избыточные функционалы.

 

Угрозы точно так же выбираются из предопределенного списка и призваны обозначить, от чего именно защищает система защиты информации, соответствующая данному профилю защиты.

 

Понятие политики безопасности определено в 1-й части ОК следующим образом: "Одно или несколько правил, процедур, практических приемов или руководящих принципов в области безопасности, которыми руководствуется организация в своей деятельности". В общем случае такой набор правил представляет собой некий функционал программного продукта, который необходим для его использования в конкретной организации. Если подходить к политике более формально, то она есть набор неких требований к функционалу системы защиты, закрепленных в ведомственных документах. Например, в финансовых организациях зачастую принято, чтобы в продукте предусматривалось присутствие нескольких административных ролей: администратор, аудитор и оператор системы защиты. Такое ролевое управление информационной безопасностью - скорее дань традиции и теоретически позволяет избежать "сговора" администратора и злоумышленника из числа пользователей. Для того, чтобы включить данный функционал продукта в профиль защиты, целесообразнее всего ввести соответствующую политику безопасности, например, так: "Администраторы должны нести ответственность за свои действия в системе".

Уровень доверия

 

Кроме функций безопасности, в структуру документа, описывающего профиль защиты, входит раздел "Требования доверия к безопасности". Эти требования, как и функции безопасности, выбираются разработчиком профиля из "каталога" требований доверия, фактически составляющего всю третью часть "Общих критериев". Однако, в отличие от "формального" набора функций, для требований доверия в стандарте сформированы определенные наборы, которые называются "Оценочными уровнями доверия" (ОУД). Самый низкий уровень доверия - 1-й, самый высокий - 7-й.

 

Если провести аналогию с определениями, уже знакомыми нам по руководящим документам (РД) Гостехкомиссии РФ, то ОУД имеют много общего с уровнями проверки недекларированных возможностей (см. РД Гостехкомиссии России "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларируемых возможностей").

 

Но по сравнению с РД в ОК значительно больше внимания уделено процедурам поставки (важно, чтобы при выполнении процедуры поставки программный продукт был защищен от подмены или модификации) и поддержке продукции. Программный продукт, который не поддерживается должным образом разработчиком, не может считаться "доверенным", не может претендовать на высокий уровень ОУД, а значит, не может применяться для защиты ценной информации.

Задание по безопасности

 

Если профиль защиты - это описание функционала продукта, не зависящее от его реализации и имеющее много общего с техническим заданием, то задание по безопасности содержит и список функций безопасности профиля, и описание того, как эти функции безопасности реализованы непосредственно в продукте. Определение задания по безопасности в стандарте таково: "Совокупность требований безопасности и спецификаций, предназначенная для использования в качестве основы для оценки конкретного ОО". Если продолжить аналогию с проектной документацией, то задание по безопасности имеет много общего с техническими условиями на СЗИ.

Качество жизни

 

При всей своей объемности и, на первый взгляд, сложности новый ГОСТ дает в руки разработчикам дополнительные, доселе недоступные возможности, демонстрируя достаточную гибкость как инструментарий. Если разработчик системы защиты считает, что его продукт пусть не намного, но все же в чем-то превосходит продукт конкурента, то он всегда может создать собственный профиль защиты (который имеет пусть не намного, но больше функций безопасности) и сертифицировать по нему свою продукцию. Кроме того, немаловажно, что гибкость ОК позволяет довольно быстро (по сравнению с разработкой прежних РД Гостехкомиссии) реагировать на появление новых информационных угроз и СЗИ, защищающих от этих угроз.

 

Такая гибкость имеет и свои недостатки, причем, как обычно, эти недостатки - продолжение ее достоинств. Ясно, что, следуя описанной логике создания профилей защиты, можно в скором времени "наплодить" их огромное количество. Как следствие, появится потребность в экспертах, которые будут хорошо ориентироваться в "Общих критериях", в существующих профилях, смогут разрабатывать профили защиты и задания по безопасности (а такая работа стоит отнюдь не дешево).

⇐ Предыдущая123Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: