Лекция № 9   Методики определения требований к защите информации. Классификация

систем по требованиям к защите информации. Классы защищенности средств вычислительной

техники. Общие Критерии.   1. Общие требования к защите информации, обусловленные спецификой автоматизированной обработки информации.   2 Анализ существующих методик определения требований к защите информации. Требования к безопасности информационных систем в США.   3. Требования к безопасности информационных систем в России: 3.1. Классификация автоматизированных систем и требования по защите информации. 3.2.Классы защищенности средств вычислительной техники от несанкционированного доступа 3.3. Критерии оценки безопасности информационных технологий   4. Факторы, влияющие на требуемый уровень защиты информации. (Слайд 3)

прагматическом уровне требования к защите могут быть определены как предотвращение

угроз информации, по крайней мере тех из них, проявление которых может привести к существенно значимым последствиям. Но поскольку, как рассматривалось раньше, защита информации есть случайный процесс (показатели уязвимости носят вероятностный характер), то и требования к защите должны выражаться терминами и понятиями теории вероятностей. По аналогии с требованиями к надежности технических систем, обоснованными в классической теории систем, требования к защите могут быть сформулированы в виде условия: где Рз - вероятность защищенности информации; Рзт - требуемый уровень защищенности.   С требованиями, выраженными в таком виде, можно оперировать с использованием методов классической теории систем при решении задач защиты всех классов: анализа, синтеза и управления. (Слайд 3.1)

совокупностью следующих факторов:
характером обрабатываемой информации;
объемом обрабатываемой информации;
продолжительностью пребывания информации в

АСОИ;
структурой автоматизированной системы обработки данных;
видом защищаемой информации;
технологией обработки информации;
организацией информационно-вычислительного процесса в автоматизированной системе обработки данных;
этапом жизненного цикла автоматизированной системы обработки данных.
(слайд 3.2)

по категории доступа к ней на:

1. Общедоступную информацию;

2. Информацию,

доступ к которой ограничен федеральными законами (информация ограниченного доступа), которая в свою очередь, может условно разделена на
-конфиденциальную,
-служебную (для служебного пользования);
-секретную и совершенно секретную (сведения, составляющие государственную тайну).


(слайд 3.3)

При обработке общедоступной информации никаких специальных мер защиты от НСД

не требуется.
2. Требования к защите конфиденциальной информации определяет владелец (пользователь), устанавливающий статус конфиденциальности.
3. При обработке служебной информации к ней должен быть обеспечен свободный доступ пользователям учреждения-владельца этой информации (по общему списку); доступ же пользователей, не включенных в общий список, должен осуществляться по разовым санкциям, выдаваемым пользователям, включенным в список.
4. При обработке секретной информации в зависимости от ее объема и характера может быть предъявлен один из следующих вариантов требований:
персональное разграничение - для каждого элемента информации составляется список пользователей, имеющих к нему право доступа;
коллективное разграничение - структура баз защищаемых данных организуется в соответствии со структурой подразделений, участвующих в обработке защищаемой информации; пользователи каждого подразделения имеют право доступа к только к «своим» данным.
5. При обработке совершенно секретной информации список лиц, имеющих право доступа, должен составляться для каждого самостоятельного элемента информации с указанием дней и времени доступа, а также перечня разрешенных процедур.
(слайд 3.4)

обработке информации, размещенной только в оперативном запоминающем устройстве (ОЗУ), должны

обеспечиваться требуемые уровень защиты и надежность в центральном вычислителе и на коммуникациях ввода-вывода данных. При обработке информации, размещенной на одном внешнем носителе, дополнительно к предыдущему должна обеспечиваться защита в соответствующем внешнем запоминающем устройстве (ВЗУ) и коммуникациях, связывающих это устройство с процессором.

(слайд 3.5)

обработки данных требования к защите формулируются следующим образом:
Информация разового использования

подлежит защите в процессе подготовки, ввода, решения задач и выдачи результатов решения. После этого защищаемая информация должна быть уничтожена во всех устройствах автоматизированной системы обработки данных.
Информация временного хранения дополнительно к предыдущему подлежит защите в течение объявленного времени хранения, после чего должна быть уничтожена во всех устройствах автоматизированной системы обработки данных и на всех носителях, используемых для ее хранения. Продолжительность хранения задается или длиной промежутка времени, или числом сеансов решения соответствующих функциональных задач.
Информация длительного хранения подлежит постоянной защите, уничтожение ее должно выполнятся по определенным командам.
(слайд 3.6)

сформулированы в следующем виде.
Информация должна защищаться во всех структурных элементах

автоматизированной системы обработки данных, причем специфические требования к защите информации в структурных элементах различного типа сводятся к следующему:
 
1. В терминалах пользователей:
защищаемая информация может находиться только во время сеанса решения задач, после чего подлежит уничтожению; устройства отображения и фиксации информации должны располагаться так, чтобы исключить возможность просмотра отображаемой (выдаваемой) информации со стороны;
информация, имеющая ограничительный гриф, должна выдаваться (отображаться) совместно с этим грифом;
должны быть предусмотрены возможности быстрого (аварийного) уничтожения информации, находящейся в терминале (в том числе и на устройствах отображения).
(слайд 3.7)

сложных с малым объемом запоминающего устройства (ЗУ) защищаемая информация может

находиться только во время решения задач, после чего подлежит уничтожению; в сложных с большим объемом ЗУ информация может храниться в ВЗУ, однако продолжительность хранения должна быть ограниченной;
устройства отображения и фиксации информации должны располагаться так, чтобы исключить возможность просмотра отображаемой (выдаваемой) информации со стороны;
информация, имеющая ограничительный гриф, должна выдаваться (отображаться) совместно с этим грифом;
в УГВВ с возможностями универсального процессора при каждом обращении к защищаемой информации должны осуществляться процедуры:
установления подлинности (опознавания) вступающих в работу терминалов и пользователей;
проверки законности каждого запроса на соответствие предоставленным пользователю полномочиям;
проверки адреса выдачи информации, имеющей ограничительный гриф, и наличия этого грифа;
контроля обработки защищаемой информации;
регистрации запросов и всех нарушений правил защиты;
при выдаче информации в линии связи должны осуществляться:
проверка адреса выдачи информации;
маскировка (закрытие) содержания защищаемой информации, выдаваемой в линии связи, проходящей по неконтролируемой территории;
должны быть предусмотрены возможности аварийного уничтожения информации как в ОЗУ, так и в ВЗУ, а также подачи команды на аварийное уничтожение информации в сопряженных с УГВВ терминалах.
(слайд 3.8)

в течение сеанса; в ЗУ аппаратуры связи могут храниться только

служебные части передаваемых сообщений;
линии связи, по которым защищаемая информация передается в явном виде, должны находиться под непрерывным контролем во время передачи информации;
перед началом каждого сеанса передачи защищаемой информации должна осуществляться проверка адреса выдачи данных;
при передаче большого объема защищаемой информации проверка адреса передачи должна периодически производиться в процессе передачи (через заданный промежуток времени или после передачи заданного числа знаков сообщения);
при наличии в составе аппаратуры связи процессоров и ЗУ должна вестись регистрация данных о всех сеансах передачи защищаемой информации;
должны быть предусмотрены возможности аварийного уничтожения информации, находящейся в аппаратуре связи. (слайд 3.9)

находиться только во время сеансов решения соответствующих задач, в ВЗУ

- минимальное время, определяемое технологией решения соответствующей прикладной задачи в автоматизированной системе обработки данных; - устройства отображения и фиксации информации должны располагаться так, чтобы исключить возможность просмотра отображаемой (выдаваемой) информации со стороны; - информация, имеющая ограничительный гриф, должна выдаваться (отображаться) совместно с этим грифом; - при обработке защищаемой информации должно осуществляться установление подлинности всех участвующих в обработке устройств и пользователей и ведение протоколов их работы; - всякое обращение к защищаемой информации должно проверяться на санкционированность; - при обмене защищаемой информации, осуществляемом с использованием линий связи, должна осуществляться проверка адреса корреспондента; должны быть предусмотрены возможности аварийного уничтожения всей информации, находящейся в центральном вычислителе, и подачи команды на аварийное уничтожение информации в сопряженных устройствах. (слайд 3.10)

управления в течение минимального времени, определяемого технологией автоматизированной обработки информации;
-

устройства управления ВЗУ, на которых установлены носители с защищаемой информацией, должны иметь замки, предупреждающие несанкционированное изъятие или замену носителя;
должны быть предусмотрены возможности автономного аварийного уничтожения информации на носителях, находящихся на ВЗУ.
(слайд 3.11)

должны иметь четкую и однозначную маркировку, которая, однако, не должна

раскрывать содержания записанной на них информации;
- носители, содержащие защищаемую информацию, должны храниться таким образом, чтобы исключались возможности несанкционированного доступа к ним;
при выдаче и приемке носителей должна осуществляться проверка личности получающего (сдающего) и его санкции на получение (сдачу) этих носителей;
- должны быть предусмотрены возможности аварийного уничтожения информации на носителях, находящихся в хранилищах.

только в течение времени ее подготовки;
устройства подготовки должны быть размещены

так, чтобы исключались возможности просмотра обрабатываемой информации со стороны;
в специальных регистрационных журналах должны фиксироваться время обработки информации, исполнители, идентификаторы использованных носителей, и возможно, другие необходимые данные;
- распределение работ между операторами должно быть таким, чтобы минимизировать осведомленность их о содержании обрабатываемой информации;
должны быть предусмотрены возможности аварийного уничтожения информации, находящейся в подразделениях подготовки данных.
(слайд 3.13)

системы обработки данных, заключаются в следующем:
в компактных автоматизированных системах обработки

данных (размещенных в одном помещении) достаточно организовать и обеспечить требуемый уровень защиты в пределах того помещения, в котором размещены элементы автоматизированной системы обработки данных;
в слабораспределенных автоматизированных системах обработки данных (размещенных в нескольких помещениях, но на одной и той же территории) дополнительно к предыдущему должна быть обеспечена требуемая защита информации в линиях связи, с помощью которых сопрягаются элементы автоматизированной системы обработки данных, расположенные в различных помещениях, для чего должны быть или постоянный контроль за этими линиями связи, или исключена передача по ним защищаемой информации в явном виде;
в сильнораспределенных автоматизированных системах обработки данных (размещенных на нескольких территориях) дополнительно
к предыдущему должна быть обеспечена требуемая защита информации в линиях связи большой протяженности, что может быть достигнуто предупреждением передачи по ним защищаемой информации в открытом виде.
(слайд 3.14)

виде: 1. К защите документальной информации предъявляются следующие требования:
- должна

обеспечиваться защита как оригиналов документов, так и сведений о них, накапливаемых и обрабатываемых в автоматизированной системе обработки данных;
- применяемые средства и методы защиты должны выбираться с учетом необходимости обеспечения доступа пользователям различных категорий:
-персонала делопроизводства и библиотеки оригиналов;
-специалистов подразделения первичной обработки документов;
-специалистов функциональных подразделений автоматизируемых органов.
2. При обработке фактографической быстроменяющейся информации должны учитываться следующие требования:
- применяемые средства и методы защиты не должны существенно влиять на оперативность обрабатываемой информации;
- применяемые средства и методы защиты должны выбираться с учетом обеспечения доступа к защищаемой информации строго ограниченного круга лиц.
3. К защите фактографической исходной информации предъявляются следующие требования:
- каждому пользователю должны быть обеспечены возможности формирования требований к защите создаваемых им массивов данных в пределах предусмотренных в автоматизированной системе обработки данных возможностей защиты;
- в системе защиты должны быть предусмотрены средства, выбираемые и используемые пользователями для защиты своих массивов по своему усмотрению.
4. К защите фактографической регламентной информации предъявляются следующие требования:
- применяемые средства и методы защиты должны быть рассчитаны на длительную и надежную защиту информации;
- должен обеспечиваться доступ (в пределах полномочий) широкого круга пользователей;
повышенное значение приобретают процедуры идентификации, опознавания, проверки полномочий, регистрации обращений и контроля выдачи. (слайд 3.15)

что в активном состоянии автоматизированной системы обработки данных должна обеспечиваться

защита на всех технологических участках автоматизированной обработки информации и во всех режимах.
С точки зрения организации вычислительного процесса в автоматизированной системе обработки данных требуемая защита должна обеспечиваться при любом уровне автоматизации обработки информации, при всех способах взаимодействия пользователей со средствами автоматизации и при всех режимах работы комплексов средств автоматизации.
(слайд 3.16)

состоят в следующем:
при автономном решении отдельных задач или их комплексов

основными макропроцессами автоматизированной обработки, в ходе которых должен обеспечиваться необходимый уровень защиты, являются:
сбор, подготовка и ввод исходных данных, необходимых для решения задач;
машинное решение задач в автономном режиме;
выдача результатов решения;
в случае полусистемной обработки дополнительно к предыдущему на участках комплексной автоматизации должна быть обеспечена защита в ходе осуществления следующих макропроцессов:
автоматизированного сбора информации от датчиков и источников информации;
диалогового режима работы пользователей ЭВМ;
в случае системной обработки дополнительно к предыдущему должна быть обеспечена защита в ходе таких макропроцессов:
приема потока запросов и входной информации;
формирования пакетов и очередей запросов;
диспетчеризации в ходе выполнения запросов;
регулирования входного потока информации.
(слайд 3.17)

предъявляются следующие специфические требования:
при автоматизированном вводе информации должны быть обеспечены

условия, исключающие несанкционированное попадание информации одного пользователя (абонента) в массив другого, причем должны быть обеспечены возможности фиксирования и документального закрепления момента передачи информации пользователя банку данных автоматизированной системы обработки данных и содержания этой информации;
при неавтоматизированном вводе должна быть обеспечена защита на неавтоматизированных коммуникациях «пользователь - автоматизированная система обработки данных», на участках подготовки данных и при вводе с местных устройствах группового ввода-вывода;
при пакетном выполнении запросов пользователей должно исключаться размещение в одном и том же пакете запросов на обработку информации различных ограничительных грифов;
при обработке запросов пользователей в реальном масштабе времени данные, поступившие от пользователей, и данные, подготовленные для выдачи пользователям, в ЗУ автоматизированной системы обработки данных должны группироваться с ограничительным грифом, при этом в каждой группе должен быть обеспечен уровень защиты, соответствующий ограничительному грифу данной группы.
(слайд 3.18)

следующие специфические требования:
в однопрограммном режиме работы в процессе выполнения программы

должны предупреждаться:
несанкционированное обращение к программам;
несанкционированный ввод данных для решаемой задачи;
несанкционированное прерывание выполняемой программы;
несанкционированная выдача результатов решения;

в мультипрограммном режиме сформулированные раньше требования относятся к каждой из выполняемых программ и дополнительно должно быть исключено несанкционированное использование данных одной программы другой программой;

в мультипроцессорном режиме сформулированные выше требования должны обеспечиваться одновременно во всех участвующих в решении задачи процессорах, кроме того, должно быть исключено несанкционированное вклинивание в вычислительный процесс при распараллеливании и при диспетчеризации мультипроцессорного выполнения программ.
(слайд 3.19)

так:
на этапе создания автоматизированной системы обработки данных должно быть обеспечено

соответствие возможностей защиты требованиям к защите информации, сформулированным в задании на проектирование, кроме того, должно быть исключено несанкционированное включение элементов (блоков) в компоненты автоматизированной системы обработки данных (особенно системы защиты);
на этапе функционирования автоматизированной системы обработки данных в пассивном ее состоянии должна быть обеспечена надежная защита хранящейся информации и исключены возможности несанкционированных изменений компонентов системы;
на этапе функционирования автоматизированной системы обработки данных в активном ее состоянии дополнительно к сформулированным раньше требованиям должна быть обеспечена надежная защита информации во всех режимах автоматизированной ее обработки.
(слайд 3.20)

защите информации. Нетрудно видеть, что приведенные раньше требования хотя и

содержат полезную информацию, но недостаточны для выбора методов и средств защиты информации в конкретной автоматизированной системе обработки данных.
 
Последовательность решения задачи должна быть следующей.
1. Разработка методов оценки параметров защищаемой информации.
2. Формирование перечня и классификация факторов, влияющих на требуемый уровень защиты информации.
3. Структуризация возможных значений факторов.
4. Структуризация поля потенциально возможных вариантов сочетаний значений факторов (вариантов условий защиты).
5. Оптимальное деление поля возможных вариантов на типовые классы.
6. Структурированное описание требований к защите в пределах выделенных классов.
(слайд 3.21)

обработки возникла практически одновременно с самой проблемой защиты, т.е. когда

средства электронно-вычислительной техники (ЭВТ) стали применяться для обработки конфиденциальной информации.
В условиях же автоматизированной обработки существует большое количество таких каналов несанкционированного получения информации, которые не могут быть перекрыты без применения специфических технических и программно-аппаратных средств.
Для оценки реального состояния безопасности информационной системы применяются различные критерии. Анализ отечественного и зарубежного опыта показал определенную общность подхода к определению состояния безопасности в разных странах. Ее сущность состоит в следующем.
Для предоставления пользователю возможности оценки вводится некоторая система показателей и задается иерархия классов безопасности. Каждому классу соответствует определенная совокупность обязательных функций. Степень реализации выбранных критериев показывает текущее состояние безопасности. Последующие действия сводятся к сравнению реальных угроз с реальным состоянием безопасности
Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается надежной и не требует дополнительных мер. Такую систему можно отнести к классу систем с полным перекрытием угроз и каналов утечки информации. В противном случае система безопасности нуждается в дополнительных мерах защиты.
Показатель защищенности ИС - характеристика средств системы, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню и глубине в зависимости от класса защищенности.
(слайд 3.22)

защищенность вычислительных систем, и те механизмы защиты, которые должны использоваться

в системах обработки секретной конфиденциальной - в более общей постановке информации, является так называемая «Оранжевая книга», представляющая собой стандарт США «Критерии оценки гарантированно защищенных вычислительных систем в интересах Министерства обороны США» (Trusted Computer Systems Evaluation Criteria - ТС SEC), принятый в 1983 г. Его принятию предшествовали 15-летние исследования, проводившиеся специально созданной рабочей группой и Национальным бюро стандартов США.
 
 
 
Стандартом предусмотрено 6 фундаментальных требований,
которым должны удовлетворять те вычислительные системы, которые используются для обработки конфиденциальной информации. Требования разделены на три группы: стратегия, подотчетность, гарантии - в каждой группе по два требования следующего содержания:
(слайд 3.23)

и хорошо определенную стратегию обеспечения безопасности.
Требование 2 - маркировка: управляющие

доступом метки должны быть связаны с объектами.
2. Подотчетность
Требование 3 - идентификация: индивидуальные субъекты должны идентифицироваться.
Требование 4 - подотчетность: контрольная информация должна храниться отдельно и защищаться так, чтобы со стороны ответственной за это группы имелась возможность отслеживать действия, влияющие на безопасность.
3. Гарантии
Требование 5 - гарантии: вычислительная система в своем составе должна иметь аппаратные/программные механизмы, допускающие независимую оценку на предмет достаточного уровня гарантий того, что система обеспечивает выполнение изложенных выше требований с 1 -го по 4-е.
Требование 6 - постоянная защита: гарантированно защищенные механизмы, реализующие перечисленные требования, должны быть постоянно защищены от «взламывания» и/или несанкционированного внесения изменений.
(слайд 3.24)

разделены на 4 группы - D, С, В, А, которые

названы так: D - минимальная защита; С - индивидуальная защита; В - мандатная защита; А - верифицированная защита. Группы систем делятся на классы, причем все системы, относимые к группе D, образуют один класс D, к группе С - два класса С1 и С2, к группе В - три класса В1, В2 и ВЗ, к группе А - один класс А1 с выделением части систем вне класса.
D - минимальная защита - системы, подвергнутые оцениванию, но не отвечающие требованиям более высоких классов.
С1 - защита, основанная на индивидуальных мерах, - системы, обеспечивающие разделение пользователей и данных. Они содержат внушающие доверие средства, способные реализовать ограничения по доступу, накладываемые на индивидуальной основе, т. е. позволяющие пользователям иметь надежную защиту их информации и не дающие другим пользователям считывать или разрушать их данные. Допускается кооперирование пользователей по уровням секретности.
С2 - защита, основанная на управляемом доступе, - системы, осуществляющие не только разделение пользователей, как в системах С1, но и разделение их по осуществляемым действиям.
В1 - защита, основанная на присваивании имен отдельным средствам безопасности, - системы, располагающие всеми возможностями систем класса С, и дополнительно должны быть формальные модели механизмов обеспечения безопасности, присваивания имен защищаемым данным, включая и выдаваемые за пределы системы, и средства мандатного управления доступом ко всем поименованным субъектам и объектам.
В2 - структурированная защита - системы, построенные на основе ясно определенной и формально задокументированной модели, с мандатным управлением доступом ко всем субъектам и объектам, располагающие усиленными средствами тестирования и средствами управления со стороны администратора системы.
ВЗ - домены безопасности - системы, монитор обращений которых контролирует все запросы на доступ субъектов к объектам, не допускающие несанкционированных изменений. Объем монитора должен быть небольшим вместе с тем, чтобы его состояние и работу можно было сравнительно легко контролировать и тестировать. Кроме того, должны быть предусмотрены сигнализация о всех попытках несанкционированных действий и восстановление работоспособности системы.
А1 - верификационный проект - системы, функционально эквивалентные системам класса ВЗ, но верификация которых осуществлена строго формальными методами. Управление системой осуществляется по строго определенным процедурам. Обязательно введение администратора безопасности. (Слайд 3.25)

при Президенте РФ «Автоматизированные системы. Защита от несанкционированного доступа к

информации. Классификация автоматизированных систем и требования по защите информации». (Утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.). (Слайд 3.26)

несанкционированного доступа к информации, а для каждого класса определен минимальный

состав необходимых механизмов защиты и требования к содержанию защитных функций каждого из механизмов в каждом из классов систем.
Классы систем разделены на три группы, причем основным критерием деления на группы приняты специфические особенности обработки информации, а именно:
третья группа - системы, в которых работает один пользователь, допущенный ко всей обрабатываемой информации, размещенной на носителях одного уровня конфиденциальности; к группе отнесены два класса, обозначенные ЗБ и ЗА;
вторая группа - системы, в которых работает несколько пользователей, которые имеют одинаковые права доступа ко всей информации, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности; к группе отнесены два класса, обозначенные 2Б и 2А;
первая группа - многопользовательские системы, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности, причем различные пользователи имеют разные права на доступ к информации; к группе отнесено 5 классов: 1Д, 1Г, 1В, 1Б и 1А. (Слайд 3.27)

1 А.
Все механизмы защиты разделены на 4 подсистемы следующего

назначения:
управления доступом;
регистрации и учета;
криптографического закрытия;
обеспечения целостности.

Значительно раньше, в 1978 г., Гостехкомиссией были выпущены руководящие документы, определяющие требования к защите информации в автоматизированных системах от утечки по побочным электромагнитным излучениям и наводкам. При разработке названных требований учитывались следующие факторы:
 
1. Доля грифованной информации в общем объеме обрабатываемой информации.
2. Интенсивность обработки грифованной информации, выражаемая относительной долей времени ее обработки в течение суток.
3. Условия расположения аппаратуры автоматизированной системы.



(Слайд 3.28)

информации. Показатели защищенности от несанкционированного доступа к информации».(Утвержден решением председателя

Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.).


Под средствами вычислительной техники (СВТ) понимаются совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.


(Слайд 3.29)

классы подразделяются на 4 группы.
Первая группа включает только один

седьмой класс - минимальная защищенность.
Вторая группа характеризуется избирательной зашитой и включает шестой и пятый классы. Избирательная защита предусматривает контроль доступа поименованных субъектов к поименованным объектам системы. При этом для каждой пары «субъект - объект» должны быть определены разрешенные типы доступа. Контроль доступа применяется к каждому объекту и к каждому субъекту - индивиду или группе равноправных индивидов.
Третья группа характеризуется полномочной защитой и включает четвертый, третий и второй классы. Полномочная защита предусматривает присвоение каждому субъекту и объекту системы классификационных меток, указывающих место субъекта объекта в соответствующей иерархии. Классификационные метки на объекты устанавливаются пользователем системы или специально выделенным субъектом. Обязательным требованием для классов, входящих в эту группу, является реализация диспетчера доступа в иностранной литературе - reference monitor, монитор ссылок. Контроль доступа должен осуществляться применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов. Решение о санкционированности запроса на доступ должно приниматься только при одновременном разрешении его и избирательными и полномочными правилами разграничения доступа.
Четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Для присвоения класса защищенности система должна иметь:
руководство администратора по системе;
руководство пользователя;
тестовую и конструкторскую документацию.
(слайд 3.30)

оценки безопасности информационных технологий. (Общие критерии)».
Этот РД содержит систематизированный каталог

требований к безопасности информационных технологий (ИТ), порядок и методические рекомендации по его использованию при задании требований, разработке, оценке и сертификации продуктов и систем ИТ по требованиям безопасности информации.
Этот документ не отменяет ранее принятые РД. Он разработан в развитие РД Гостехкомиссии России по защите информации от несанкционированного доступа и соответствует ГОСТ Р ИСО/МЭК 15408-2002 «Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий».
(Слайд 3.31)

систем ИТ. Положения РД направлены на создание продуктов и систем

ИТ с уровнем безопасности, адекватным имеющимся по отношению к ним угрозам и проводимой политике безопасности с учетом условий применения, что должно обеспечить оптимизацию продуктов и систем ИТ по критерию «эффективность - стоимость».
Под безопасностью ИТ в этом РД понимается состояние ИТ, определяющее защищенность информации и ресурсов ИТ от действия объективных и субъективных, внешних и внутренних, случайных и преднамеренных угроз, а также способность ИТ выполнять предписанные функции без нанесения неприемлемого ущерба субъектам информационных отношений.
Доверие к безопасности ИТ обеспечивается как реализацией в них необходимых функциональных возможностей, так и осуществлением комплекса мер по обеспечению безопасности при разработке продуктов и систем ИТ, проведением независимых оценок их безопасности и контролем ее уровня при эксплуатации.
Требования к безопасности конкретных продуктов и систем ИТ устанавливаются, исходя из имеющихся и прогнозируемых угроз безопасности, проводимой политики безопасности, а также с учетом условий их применения. При формировании требований должны в максимальной степени использоваться компоненты требований, представленные в настоящем РД. Допускается также использование и других требований безопасности, при этом уровень детализации и способ выражения требований, представленных в настоящем РД, должны использоваться в качестве образца. Требования безопасности могут задаваться заказчиком в техническом задании на разработку продуктов и систем ИТ или формироваться разработчиком при создании им продуктов ИТ самостоятельно.


(Слайд 3.32)

(функциональные и требования доверия), основные конструкции представления требований безопасности (профиль

защиты, задание по безопасности) и содержит основные методические положения по оценке безопасности ИТ.
Ч. 2 содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определенным правилам.
Ч. 3 содержит систематизированный каталог требований доверия к безопасности и оценочные уровни доверия, определяющие меры, которые должны быть приняты на всех этапах жизненного цикла продуктов или систем ИТ для обеспечения уверенности в том, что они удовлетворяют предъявленным к ним функциональным требованиям.
(Слайд 3.33)

(слайд 3.34)

- компонент» призвана помочь потребителям в поиске конкретных требований безопасности.
Функциональные

требования и требования доверия представлены в ОК в едином стиле с использованием одной и той же структуры и терминологии.
Термин «класс» применяется для наиболее общего группирования требований безопасности. Все составляющие класса имеют общую направленность, но различаются по охвату целей безопасности.
Составляющие класса называются семействами.
Семейство - это группа наборов требований безопасности, имеющих общие цели безопасности, но различающихся акцентами или строгостью.
Составляющие семейства называются компонентами.
Компонент описывает специфический набор требований безопасности, который является наименьшим выбираемым набором требований безопасности для включения в структуры, определенные в ОК. Совокупность компонентов, входящих в семейство, может быть упорядочена для представления возрастания строгости или возможностей требований безопасности, имеющих общее назначение. Они могут быть также упорядочены частично для представления связанных неиерархических наборов. Упорядочение неприменимо в случае, когда в семействе имеется только один компонент.
Компоненты составлены из отдельных элементов. Элемент - это выражение требований безопасности на самом нижнем уровне. Он является тем неделимым требованием безопасности, которое может быть верифицировано при оценке. (слайд 3.36)

обусловливаемые характером обрабатываемой информации:
1. Степень секретности.
2. Объемы.
3. Интенсивность обработки.
Группа 2

- обусловливаемые архитектурой автоматизированной системы обработки данных:
1. Геометрические размеры.
2. Территориальная распределенность.
3. Структурированность компонентов.
Группа 3 - обусловливаемые условиями функционирования автоматизированной системы обработки данных:
1. Расположение в населенном пункте.
2. Расположение на территории объекта.
3. Обустроенность.
Группа 4 - обусловливаемые технологией обработки информации.
1. Масштаб.
2. Стабильность.
3. Доступность.
4. Структурированность.
Группа 5 - обусловливаемые организацией работы автоматизированной системы обработки данных:
1. Общая постановка дела.
2. Укомплектованность кадрами.
3. Уровень подготовки и воспитания кадров.
4. Уровень дисциплины. (слайд 3.37)