Студопедия — Оценка безопасности ИС
Студопедия Главная Случайная страница Обратная связь

Разделы: Автомобили Астрономия Биология География Дом и сад Другие языки Другое Информатика История Культура Литература Логика Математика Медицина Металлургия Механика Образование Охрана труда Педагогика Политика Право Психология Религия Риторика Социология Спорт Строительство Технология Туризм Физика Философия Финансы Химия Черчение Экология Экономика Электроника

Оценка безопасности ИС






 

Для предоставления пользователю возможности оценки вводится некоторая система показателей и задается иерархия классов безопасности. Каждому классу соответствует определенная совокупность обязательных функций. Степень реализации выбранных критериев показывает текущее состояние безопасности: Последующие действия сводятся к сравнению реальных угроз с реальным состоянием безопасности.

Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается надежной и не требует дополнительных мер. Такую систему можно отнести к классу систем с полным перекрытием угроз и каналов утечки информации. В противном случае система безопасности нуждается в дополнительных мерах зашиты.

Вопросами стандартизации и разработки нормативных требований на защиту информации в США занимается Национальный центр компьютерной безопасности и министерства обороны США (NCSC - National Computer Security Center). Центр еще в 1983 г. издал критерии оценки безопасности компьютерных систем (TCSEC Trusted Computer System Evaluation Criteria). Этот документ обычно называется Оранжевой книгой.

В Оранжевой книге приводятся следующие уровни безопасности систем:

• высший класс, обозначается как А;

• промежуточный класс — В;

• низкий уровень безопасности — С;

• класс систем, не прошедших испытания — Д.

Класс Д присваивается тем системам, которые не прошли испытания на более высокий уровень защищенности, а также системам, использующим для защиты лишь отдельные мероприятия или функции (подсистемы безопасности).

Класс С разбивается на два подкласса (по возрастающей требований к защите). Так как класс С1 должен обеспечивать избирательную защиту, средства безопасности систем класса С1 должны удовлетворять требованиям избирательного управления доступом, обеспечивая разделение пользователей и данных. Для каждого объекта и субъекта задается перечень допустимых типов доступа (чтение, запись, печать и т.д.) субъекта к объекту. В системах этого класса обязательны идентификация (присвоение каждому субъекту персонального идентификатора) и аутентификация (установление подлинности) субъекта доступа, а также поддержка со стороны оборудования.

Класс С2 должен обеспечивать управляемый доступ, а также ряд дополнительных требований. В частности, в системах этого класса обязательно ведение системного журнала, в котором должны отмечаться события, связанные с безопасностью системы. Сам журнал должен быть защищен от доступа любых пользователей, за исключением сотрудников безопасности.

В системах класса В, содержащего три подкласса, должен быть полностью контролируемый доступ. Должен выполняться ряд требований, главным из которых является наличие хорошо разработанной и документированной формальной модели политики безопасности, требующей действия избирательного и полномочного управления доступом ко всем объектам системы. Вводится требование управления информационными потоками в соответствии с политикой безопасности.

Политика безопасности - представляет собой набор законов, правил и практического опыта, на основе которых строятся управление, защита и распределение конфиденциальной информации.

Анализ классов безопасности показывает, что, чем он выше, тем более жесткие требования предъявляются к системе.

Отработаны также основные требования к проектам документации.

В части стандартизации аппаратных средств ИС и телекоммуникационных сетей в США разработаны правила стандарта TEMPEST (Transient Electromagnetic Pulse Emanations Standard). Этот стандарт предусматривает применение специальных мер зашиты аппаратуры от паразитных излучений электромагнитной энергии, перехват которой может привести к овладению охраняемыми сведениями. Стандарт TEMPEST обеспечивает радиус контролируемой зоны перехвата порядка одного метра.

Это достигается специальными системотехническими, конструктивными и программно-аппаратными решениями.

Руководящие документы (в некоторой степени, аналогичные разработанным NCSC) в области зашиты информации разработаны Государственной технической комиссией при Президенте Российской Федерации1. Требования этих документов обязательны для исполнения только в государственном секторе либо коммерческими организациями, которые обрабатывают информацию, содержащую государственную тайну. Для остальных коммерческих структур документы носят рекомендательный характер.

В одном из документов, носящим название «Автоматизированные системы. Зашита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации», приведена классификация автоматизированных систем на классы по условиям их функционирования в целях разработки применения обоснованных мер по достижению требуемого уровня безопасности. Устанавливаются девять классов защищённости, каждым из которых характеризуется определенной минимальной совокупностью требований по защите. Защитные мероприятия охватывают подсистемы

• управления доступом;

• регистрации и учета (веление журналов и статистики);

• криптографическую (использования различных механизмов шифрования);

• обеспечения целостности;

• законодательных мер;

• физических мер.

Достаточно важно использование документа «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности». В нем определены семь классов защищенности СВТ от несанкционированного доступа к информации. Самый низкий класс седьмой, самый высокий - первый. Каждый класс наследует требования защищенности oт предыдущего.

Класс защищенности ИС - определенная совокупность требований по защите средств ИС от несанкционированного доступа к информации.







Дата добавления: 2015-10-19; просмотров: 579. Нарушение авторских прав; Мы поможем в написании вашей работы!



Вычисление основной дактилоскопической формулы Вычислением основной дактоформулы обычно занимается следователь. Для этого все десять пальцев разбиваются на пять пар...

Расчетные и графические задания Равновесный объем - это объем, определяемый равенством спроса и предложения...

Кардиналистский и ординалистский подходы Кардиналистский (количественный подход) к анализу полезности основан на представлении о возможности измерения различных благ в условных единицах полезности...

Обзор компонентов Multisim Компоненты – это основа любой схемы, это все элементы, из которых она состоит. Multisim оперирует с двумя категориями...

Принципы, критерии и методы оценки и аттестации персонала   Аттестация персонала является одной их важнейших функций управления персоналом...

Пункты решения командира взвода на организацию боя. уяснение полученной задачи; оценка обстановки; принятие решения; проведение рекогносцировки; отдача боевого приказа; организация взаимодействия...

Что такое пропорции? Это соотношение частей целого между собой. Что может являться частями в образе или в луке...

Общая и профессиональная культура педагога: сущность, специфика, взаимосвязь Педагогическая культура- часть общечеловеческих культуры, в которой запечатлил духовные и материальные ценности образования и воспитания, осуществляя образовательно-воспитательный процесс...

Устройство рабочих органов мясорубки Независимо от марки мясорубки и её технических характеристик, все они имеют принципиально одинаковые устройства...

Ведение учета результатов боевой подготовки в роте и во взводе Содержание журнала учета боевой подготовки во взводе. Учет результатов боевой подготовки - есть отражение количественных и качественных показателей выполнения планов подготовки соединений...

Studopedia.info - Студопедия - 2014-2024 год . (0.012 сек.) русская версия | украинская версия