Текст книги "Информационная безопасность. Национальные стандарты Российской Федерации"

Правила разграничения доступа (в автоматизированной информационной системе) – правила, регламентирующие условия доступа субъектов доступа к объектам доступа в автоматизированной информационной системе.

Правовая защита информации – защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов, регулирующих отношения субъектов по защите информации, применение этих документов, а также надзор и контроль за их исполнением.

Программная закладка – преднамеренно внесенный в программное обеспечение функциональный объект, который при определенных условиях инициирует реализацию недекларированных возможностей программного обеспечения.

Программная закладка – скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие.

Система защиты информации – совокупность органов и/или исполнителей, используемой ими техники ЗИ, а также объектов ЗИ, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области ЗИ.

Сертификация на соответствие требованиям по безопасности информации – форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.

Средство контроля эффективности ЗИ – средство ЗИ, предназначенное или используемое для контроля эффективности ЗИ.

Средство обнаружения вторжений – программное или программно-техническое средство, которое автоматизирует процесс контроля событий, протекающих в компьютерной системе или сети, а также самостоятельно анализирует эти события в поисках признаков инцидента информационной безопасности.

Средство защиты информации – техническое, программное, программно-техническое средство, вещество и/или материал, предназначенные или используемые для защиты информации.

Сертификация средств технической защиты информации – деятельность органа по сертификации по подтверждению соответствия средств технической защиты информации требованиям технических регламентов, положениям стандартов или условиям договоров.

Техническая защита информации – защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Техническая защита информации – деятельность, направленная на обеспечение некриптографическими методами безопасности информации (данных), подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Техническое средство обеспечения информационной безопасности – оборудование, используемое для обеспечения информационной безопасности организации некриптографическими методами.

Угроза — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Угроза информационной безопасности организации – совокупность факторов и условий, создающих опасность нарушения информационной безопасности организации, вызывающую или способную вызвать негативные последствия (ущерб/вред) для организации.

Угроза (безопасности информации) – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и/или целостности информации.

Уязвимость (информационной системы) – свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Уязвимость (информационной системы) – свойство информационной системы, предоставляющее возможность реализации угроз безопасности обрабатываемой в ней информации.

Уязвимость (автоматизированной информационной системы) – недостаток или слабое место в автоматизированной информационной системе, которые могут быть условием реализации угрозы безопасности обрабатываемой в ней информации.

Физическая защита информации – защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Целостность (информации [ресурсов автоматизированной информационной системы]) – состояние информации [ресурсов автоматизированной информационной системы], при котором ее [их] изменение осуществляется только преднамеренно субъектами, имеющими на него право.

Эффективность защиты информации – степень соответствия результатов защиты информации цели защиты информации.

Национальный стандарт Российской Федерации ГОСТ Р 52069.0–2013 «Защита информации. Система стандартов. Основные положения» введен в действие с 01.09.2013 г. взамен ГОСТ Р 52069.0–2003. Он устанавливает цель, задачи и структуру системы стандартов по защите (некриптографическими методами) информации, объекты и аспекты стандартизации в данной области и является основополагающим национальным стандартом Российской Федерации в области защиты информации. Положения стандарта применяются при проведении работ по стандартизации в области противодействия техническим разведкам, технической защиты информации, обеспечения безопасности информации в ключевых системах информационной инфраструктуры.

Под системой стандартов по защите информации понимается совокупность взаимосвязанных стандартов, устанавливающих характеристики продукции, правила осуществления и характеристики процессов, выполнения работ или оказания услуг в области защиты информации.

Система стандартов по защите информации (ССЗИ) является составной частью национальной системы стандартизации Российской Федерации.

Основными задачами по формированию и развитию ССЗИ являются:

• установление основополагающих принципов построения, требований к составу и содержанию системы документов в области ЗИ;

• обеспечение единства терминологии в области ЗИ;

• упорядочение объектов и аспектов стандартизации в области ЗИ;

• обеспечение единства организационных и методических подходов к проведению работ по ЗИ;

• установление системы требований по ЗИ и методов контроля выполнения этих требований;

• установление общих технических требований к средствам ЗИ (СЗИ) и услугам по ЗИ;

• установление требований к методам и методикам испытаний и оценки качества СЗИ;

• установление требований к метрологическому, информационному и другим видам обеспечения ЗИ.

Основными объектами стандартизации ССЗИ являются:

1) ЗИ как область деятельности:

• противодействие техническим разведкам;

• техническая ЗИ;

• обеспечение безопасности информации в ключевых системах информационной инфраструктуры;

2) объекты ЗИ (промышленные объекты, объекты науки, энергетики, жизнеобеспечения, объекты органов управления, объекты информатизации, продукция);

3) угрозы безопасности информации и уязвимости объектов ЗИ;

4) организация и содержание работ по ЗИ;

5) методы (процессы, работы, технологии) ЗИ и методы контроля состояния ЗИ;

6) техника ЗИ (средства ЗИ, средства контроля эффективности ЗИ);

7) услуги по ЗИ.

Основными аспектами стандартизации в ССЗИ являются:

• термины и определения в области ЗИ;

• классификация в области ЗИ (угроз, уязвимостей, работ и услуг по ЗИ, техники ЗИ);

• требования к системе документов в области ЗИ;

• общие технические требования по ЗИ, предъявляемые к объектам;

• общие требования к организации и содержанию работ по ЗИ;

• общие технические требования к СЗИ и системе контроля эффективности ЗИ и методам их испытаний;

• методы контроля организации и эффективности ЗИ, методы измерений при проведении контроля;

• общие требования к организации, содержанию работ и результатам оказания услуг по ЗИ.

Система стандартов по защите информации включает следующие виды документов в области стандартизации по ЗИ:

• национальные стандарты Российской Федерации, в том числе ограниченного распространения, государственные военные стандарты, национальные стандарты, оформленные на основе аутентичных переводов международных стандартов;

• межгосударственные стандарты;

• правила стандартизации, нормы и рекомендации в области стандартизации;

• общероссийские классификаторы технико-экономической и социальной информации;

• стандарты организаций;

• предварительные национальные стандарты;

• международные стандарты, региональные стандарты, региональные своды правил, стандарты иностранных государств и своды правил иностранных государств, принятые на учет национальным органом Российской Федерации по стандартизации, и их надлежащим образом заверенные переводы на русский язык.

В состав документов в области стандартизации по ЗИ могут входить:

• своды правил;

• нормативно-технические документы системы общих технических требований к видам вооружения и военной техники;

• международные стандарты, региональные стандарты, региональные своды правил, стандарты иностранных государств и своды правил иностранных государств, принятые на учет национальным органом Российской Федерации по стандартизации, и их надлежащим образом заверенные переводы на русский язык.

Стандарты организаций по ЗИ разрабатываются организациями и утверждаются ими самостоятельно исходя из необходимости применения этих стандартов для целей стандартизации по ЗИ и не должны противоречить другим документам в области стандартизации по ЗИ, используемым на территории Российской Федерации.

Структура системы стандартов по ЗИ представлена на рис. 1.1.

Система стандартов по защите информации включает подсистемы стандартов в области:

• противодействия техническим разведкам;

• технической защиты информации;

• обеспечение безопасности информации в ключевых системах информационной инфраструктуры.

Рис. 1.1. Структура системы стандартов по ЗИ

В каждой области подсистемы стандартов ССЗИ включают следующие комплексы стандартов:

• комплекс общесистемных стандартов по ЗИ (общие требования по ЗИ в различных областях деятельности, терминология в области ЗИ);

• комплексы стандартов по ЗИ для различных классов объектов (общие требования к объекту защиты, классификация угроз и уязвимостей, требования к методам защиты и контроля эффективности защиты);

• комплексы стандартов по технике ЗИ (требования к системе защиты и контроля эффективности защиты);

• комплекс стандартов на услуги по ЗИ (требования по организации, содержанию работ, используемым методам оценки соответствия средств защиты и их эффективности, аттестации объектов информатизации по требованиям безопасности информации).

Национальный стандарт Российской Федерации ГОСТ Р 51275–2006 «Защита информации. Объект информации. Факторы, воздействующие на информацию. Общие положения» введен в действие с 01.02.2008 г. взамен ранее принятого стандарта ГОСТ Р 51275–99.

Стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации и требований по защите информации на объекте информатизации.

Стандарт вводит ряд понятий, в частности:

Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Система обработки информации – совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, необходимых для выполнения автоматизированной обработки информации.

Закладочное средство – техническое средство [устройство] приема, передачи и обработки информации, преднамеренно устанавливаемое на объекте информатизации или в контролируемой зоне в целях перехвата информации или несанкционированного воздействия на информацию и/или ресурсы автоматизированной информационной системы.

Программная закладка – преднамеренно внесенный в программное обеспечение функциональный объект, который при определенных условиях инициирует реализацию недекларированных возможностей программного обеспечения.

Недекларированные возможности (программного обеспечения) – функциональные возможности программного обеспечения, не описанные в документации.

Вредоносная программа – программа, используемая для осуществления несанкционированного доступа к информации и/или воздействия на информацию или ресурсы автоматизированной информационной системы.

Компьютерный вирус – вредоносная программа, способная создавать свои копии и/или другие вредоносные программы.

Компьютерная атака – целенаправленное несанкционированное воздействие на информацию, на ресурс автоматизированной информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств.

Сетевая атака – компьютерная атака с использованием протоколов межсетевого взаимодействия.

Выявление и учет факторов, воздействующих или могущих воздействовать на защищаемую информацию в конкретных условиях, составляют основу для планирования и проведения эффективных мероприятий, направленных на защиту информации на объекте информатизации.

Полнота и достоверность выявленных факторов, воздействующих или могущих воздействовать на защищаемую информацию, достигаются путем рассмотрения полного множества факторов, воздействующих на все элементы объекта информатизации и на всех этапах обработки информации.

В стандарте приводится классификация факторов. По признаку отношения к природе возникновения они подразделяются на классы: объективные и субъективные. По отношению к объекту информатизации факторы подразделяются на внутренние и внешние.

Объективные внутренние факторы:

• передача сигналов: по проводным и оптико-волоконным линиям связи, в диапазоне радиоволн и в оптическом диапазоне длин волн;

• излучения сигналов: акустические, электромагнитные излучения и поля;

• побочные электромагнитные излучения;

• паразитное электромагнитное излучение;

• наводка: в электрических цепях, в линиях связи, в цепях электропитания, в цепях заземления, в технических средствах;

• наличие акустоэлектрических преобразователей в элементах технических средств;

• дефекты, сбои и отказы, аварии ТС и программного обеспечения.

Объективные внешние факторы: явления техногенного характера, природные явления, стихийные бедствия.

Субъективные внутренние факторы:

• разглашение защищаемой информации лицами, имеющими к ней право доступа;

• неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации;

• несанкционированный доступ к информации;

• недостатки организационного обеспечения защиты информации;

• ошибки обслуживающего персонала.

Субъективные внешние факторы:

• доступ к защищаемой информации с применением технических средств;

• несанкционированный доступ к защищаемой информации (путем подключения к техническим средствам и системам, использования закладочных средств, использования программного обеспечения технических средств, несанкционированного физического доступа, хищения носителя информации);

• блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку;

• действия криминальных групп и отдельных преступных субъектов;

• искажение, уничтожение или блокирование информации с применением технических средств.

Государственный стандарт ГОСТ Р 50739–95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» введен в действие с 01.01.1996 г. Он устанавливает единые функциональные требования к защите СВТ от несанкционированного доступа к информации, к составу документации на эти средства, а также номенклатуру показателей защищенности СВТ, описываемых совокупностью требований к защите и определяющих классификацию СВТ по уровню защищенности от НСД к информации. Требования к защите реализуются в СВТ в виде совокупности программно-технических средств защиты.

Защищенность от НСД к информации при ее обработке СВТ обеспечивается тремя группами требований к средствам защиты, реализуемым в СВТ:

• требования к разграничению доступа;

• требования к учету (СВТ должны поддерживать регистрацию событий, имеющих отношение к защищенности информации);

• требования к гарантиям, предусматривающие необходимость наличия в составе СВТ технических и программных механизмов, позволяющих получить гарантии того, что СВТ обеспечивают выполнение требований к разграничению доступа и к учету.

Требования к разграничению доступа определяют следующие показатели защищенности, которые должны поддерживаться СВТ:

• дискреционный принцип контроля доступа;

• мандатный принцип контроля доступа;

• идентификация и аутентификация;

• очистка памяти;

• изоляция модулей;

• защита ввода и вывода на отчуждаемый физический носитель информации;

• сопоставление пользователя с устройством.

Комплекс средств защиты (КСЗ) должен осуществлять регистрацию следующих событий:

• использование идентификационного и аутентификационного механизма;

• запрос на доступ к защищаемому ресурсу (например, открытие файла, запуск программы);

• создание и уничтожение объекта;

• действия, связанные с изменением правил разграничения доступа.

Для каждого из этих событий должна быть зарегистрирована следующая информация: дата и время, субъект, осуществляющий регистрируемое действие, тип события, успешно ли осуществилось событие.

КСЗ должен обладать механизмом, гарантирующим перехват диспетчером доступа всех обращений субъектов к объектам.

В СВТ должны тестироваться:

• реализация правил разграничения доступа;

• очистка оперативной и внешней памяти;

• работа механизма изоляции процессов в оперативной памяти;

• маркировка документов;

• защита ввода и вывода информации на отчуждаемый физический носитель и сопоставление пользователя с устройством;

• идентификация и аутентификация, а также средства их защиты;

• регистрация событий, средства защиты регистрационной информации и возможность санкционированного ознакомления с ней;

• работа механизма надежного восстановления;

• работа механизма, осуществляющего контроль за целостностью комплекса средств защиты;

• работа механизма, осуществляющего контроль дистрибуции.

При приемке СВТ, их сертификации и испытаниях необходима документация, включающая в себя:

• руководство пользователя;

• руководство по КСЗ;

• тестовую документацию;

• конструкторскую (проектную) документацию.

Для каждого вида документации стандартом определены конкретные потребители и требования к составу описания.

Контрольные вопросы к главе 1

1. Цели принятия федерального закона «О техническом регулировании».

2. Цели принятия федерального закона «О стандартизации в Российской Федерации».

3. Какой орган государственной власти осуществляет деятельность по стандартизации и техническому регулированию?

4. Основные функции Росстандарта РФ.

5. В чем отличие стандарта Российской Федерации от технического регламента?

6. Дайте определения терминам «национальный стандарт» и «технический регламент».

7. Назовите основные принципы технического регулирования.

8. Назовите основные принципы стандартизации.

9. Основные этапы разработки стандарта.

10. Порядок разработки и утверждения стандартов организаций.

11. Назовите основные стандарты Российской Федерации, закладывающие основы системы стандартизации.

12. Дайте определение термину «защита информации».

13. Дайте определение терминам «правовая ЗИ», «техническая ЗИ», «физическая ЗИ», «криптографическая ЗИ».

14. Что такое «критически важная система информационной инфраструктуры»?

15. Основные задачи системы стандартизации в области ЗИ.

16. Виды документов в области стандартизации по ЗИ.

17. Структура стандартов в области ЗИ.

18. Назовите основные объективные факторы, воздействующие на защищаемую информацию.

19. Назовите основные субъективные факторы, воздействующие на защищаемую информацию.

20. Назовите группы требований к средствам защиты, реализуемым в СВТ.

21. Какие события должен регистрировать комплекс средств защиты информации?

22. Какая информация должна храниться по каждому событию?