2014-02-12
1294
Рассмотрим правила построения и функционирования системы лицензирования ФАПСИ, вытекающие из приведенных выше нормативных актов и основанные на правах и полномочиях, предоставленных ими Федеральному агентству.
1. Лицензирование в области защиты информации является обязательным.
Данное правило устанавливает, что для занятия деятельностью в области защиты информации необходимо получение права на ее осуществление. Причем распространяется это требование на все без исключения направления и отдельные виды деятельности.
2. Деятельность в области защиты информации физических и юридических лиц, не прошедших лицензирование, запрещена.
Из содержания данного правила вытекает, что субъекты, не получившие право на осуществление деятельности в области защиты информации и продолжающие ее осуществлять, нарушая установленный порядок, занимаются тем самым противоправной деятельностью. В отношении таких субъектов могут быть применены санкции, предусмотренные действующим Гражданским кодексом и законодательством об административной и уголовной ответственности.
3. Лицензия ФАПСИ и решения ФАПСИ о выдаче лицензия на право осуществления деятельности в области защиты информации, лицензирование которой относится к компетенции Федерального агентства, выдаются, в основном, юридическим лицам - предприятиям, организациям и учреждениям независимо от их организационно-правовой формы.
Данное правило лишь на первый взгляд ущемляет интересы физических лиц, которым не предоставляются права на промышленную, коммерческую деятельность, связанную с шифровальными средствами. Включение данного постулата обусловлено рядом факторов. Во-первых, разработка (производство, монтаж, наладка и т.д.) шифровальных средств требует участия высококлассных специалистов разного профиля. Во-вторых, требованиям, предъявляемым ФАПСИ к заявителю, физическое лицо удовлетворить не в состоянии. В-третьих, для проведения, работ в этой области необходимо обеспечение выполнения режимных требований и (для ознакомления, например, с нормами требований по безопасности) наличия допуска к сведениям, составляющим государственную тайну. Лицензии выдаются конкретным юридическим лицам - предприятиям, а не министерствам, ведомствам или ассоциациям в целом. Если разрешаемая в лицензии деятельность не является для лицензиата основной, то в лицензии указывается структурное подразделение, которому предоставляется право осуществления указанного в лицензии вида деятельности.
4. Лицензии ФАПСИ и решения ФАПСИ о выдаче лицензии выдаются только предприятиям, зарегистрированным на территории Российской Федерации.
5. Лицензия ФАПСИ выдается только на основании результатов специальной, экспертизы заявителя на соответствие требованиям к предприятию на право деятельности в области защиты информации по заявленному направлению работ, и аттестации руководителя предприятия или лиц, уполномоченных им для руководства лицензируемой деятельностью.
Данное положение устанавливает одну из основных норм, определяющих сущностные и процедурные аспекты системы лицензирования ФАПСИ: лицензия может быть выдана не каждому заявителю, а только предприятию, обладающему соответствующими возможностями, достаточными для осуществления заявленных видов деятельности. Проверка возможностей предприятия осуществляется в ходе специальной экспертизы путем экспертных оценок специалистами специально создаваемых комиссий. С данными требованиями заявитель может быть ознакомлен в Лицензионном центре ФАПСИ. Кроме того, по результатам специальной экспертизы заявителя определяются состав и конкретная формулировка разрешенных видов деятельности, а также условия их осуществления. Уточнение формулировок для различных видов деятельности и заявителей может быть проведено с учетом следующих факторов:
· уровня конфиденциальности защищаемой информации;
• уровня секретности сведений, используемых, при осуществлении заявляемой деятельности;
• типа используемого криптографического алгоритма;
• способа технической реализации изделия;
• уровня квалификации персонала;
• назначения изделия, наличия или отсутствия сертификата на него;
• страны - производителя изделия
• категории помещений и технических средств.
6. Решение ФАПСИ о выдаче лицензии дается предприятию, подавшему заявление на его получение, на основании результатов технической экспертизы изделия и (или) специальной экспертизы заявителя.
Основными задачами технической экспертизы являются установление соответствия предъявляемого изделия заявляемым характеристикам (классу, типу шифровальных средств) и проверка возможного использования в коммерческих шифрсредствах алгоритмов и способов их реализации, составляющих государственную тайну.
7. Лицензия, выданная ФАПСИ, действует на всей территории Российской Федерации, если иное не оговорено в ней особо.
Могут налагаться следующие ограничения:
· для региональных представителей, работающих по договорам на реализацию шифрсредств - в рамках сферы их деятельности;
· для фирм-разработчиков - разработка криптографических средств защиты и защищенных средств и систем в интересах региональных государственных и коммерческих структур.
8. Лицензии ФАПСИ и решения ФАПСИ о выдаче лицензии подписываются генеральным директором Федерального агентства или лица, его замещающего, и заверяются гербовой печатью ФАПСИ.
9. Передача лицензии другим юридическим лицам запрещена.
10.Лицензия имеет ограниченный срок действия, по истечении которого осуществляется переоформление лицензии в порядке, предусмотренном для ее выдачи.
Данные нормы определены постановлением Правительства Российской Федерации от 24.12.94 № 1418 для всех систем лицензирования.
11. Лицензирование осуществляется на платной основе.
Размер платы за рассмотрение заявления и за выдачу лицензии фиксирован. Размер платы за специальную экспертизу определяется договором на ее проведение.
12. Для получения лицензии или решения о выдаче лицензии предприятие обязано представить определенный перечень документов, состав которых определяется нормативными актами Правительства Российской Федерации и ФАПСИ
Представляемые заявителем документы регистрируются в уполномоченном подразделении Федерального агентства по мере их поступления. Заявление регистрируется только при наличии всех требуемых для оформления лицензии документов.
13. Рассмотрение заявления и специальная экспертиза должны проводиться в сроки, ограниченные соответствующими нормативными актами.
На настоящий момент продолжительность рассмотрения заявления установлена сроком 30 суток с момента поступления всех необходимых документов (с возможностью увеличения этого срока в отдельных случаях еще максимум на 60 суток). Специальная экспертиза имеет аналогичную продолжительность с момента заключения договора на ее проведение.
14. Отказ заявителю в выдаче лицензии должен быть мотивирован.
Заявителю может быть отказано в получении лицензии в следующих случаях:
• при наличии в документах, представленных заявителем, недостоверной или искаженной информации;
• отрицательного заключения по результатам специальных экспертиз, установивших несоответствие условиям, необходимым для осуществления заявленного вида деятельности и условиям безопасности;
• отрицательного заключения по результатам аттестации руководителя предприятия или лица, уполномоченного им на ведение лицензируемой деятельности;
• отрицательного заключения по результатам технических экспертиз.
15. При ликвидации предприятия выданная лицензия теряет юридическую силу.
В случае реорганизации предприятия, изменения его дислокации или наименования юридического лица, утраты лицензии осуществляется ее переоформление. Переоформление лицензии в указанных случаях, за исключением изменения наименования юридического лица, осуществляется в порядке, предусмотренным для ее выдачи.
16. Выданная лицензия может быть приостановлена или аннулирована.
Приостановление или аннулирование лицензии осуществляется в случаях:
· представления лицензиатом соответствующего заявления;
· обнаружения недостоверных данных в документах, представленных для получения лицензии;
· нарушения лицензиатом условий действия лицензии;
· невыполнения лицензиатом предписаний или распоряжений государственных органов или приостановления ими деятельности предприятия в соответствии с законодательством Российской Федерации;
· ликвидации предприятия.
Приостановление действия лицензии влечет за собой прекращение деятельности лицензиата по виду деятельности (работ, услуг), указанному в лицензии, до устранения выявленных нарушений.
17. Решение ФАПСИ о выдаче лицензии на ввоз (вывоз) шифровальных средств выдается только на конкретную партию изделий. Наличие заключенных договоров не является основанием для выдачи положительного решения о возможности ввоза(вывоза) шифровальных средств.
Данные нормы соответствуют установленному порядку внешнеэкономической деятельности. Заключаемые договора, как правило содержат статью, учитывающую форс-мажорные обстоятельства, предусматривающие возможный отказ уполномоченных государственных органов в выдаче лицензии на ввоз(вывоз) шифровальных средств. Конкретная партия товара определяется объемом, этажностью и сроками поставок оговоренных конкретным договором.
Собственно лицензирование деятельности предприятий в области защиты информации включает следующие действия:
• выдачу лицензий (решений о выдаче лицензий) - подачу, рассмотрение заявления на лицензирование, оформление и выдачу лицензий (решений о выдаче лицензий), переоформление лицензий;
• проведение специальной экспертизы заявителя;
• проведение аттестации руководителя предприятия или лиц, уполномоченных им для руководства лицензируемой деятельностью;
• проведение технической экспертизы изделий.
Для получения лицензии заявитель представляет заявление с указанием;
• наименования и организационно-правовой формы, юридического адреса, номера расчетного счета и реквизитов соответствующего банка;
• вида (видов) деятельности с формулировкой видов в соответствии с "Положением о государственном лицензировании в области защиты информации";
• срока действия лицензии.
Заявление подписывается руководителем предприятия (либо лицом его замещающим) с расшифровкой подписи и заверяется основной печатью предприятия. Заявление на лицензирование подается на имя генерального директора Федерального агентства и направляется только почтой.
Переписка по рабочим материалам и конкретным вопросам, возникающим в ходе процесса лицензирования, в том числе представление дополнительных или ранее не представленных материалов, осуществляется с уполномоченным подразделением Лицензионного центра ФАПСИ.
Заявление о выдаче лицензии принимается к рассмотрению только при наличии всех необходимых, определенных нормативными актами, документов, включающих, в первую очередь, заключение по результатам специальной экспертизы, подтверждающее наличие на предприятии необходимых условий для проведения работ по заявленным видам деятельности и соответствие их предъявляемым ФАПСИ требованиям, а также копию документа, подтверждающего прохождение аттестации руководителем предприятия. Заявитель несет ответственность за достоверность представленных сведений. В ходе рассмотрения заявления ФАПСИ вправе произвести проверку достоверности представляемых сведений.
К заявлению на получение лицензии прилагаются:
• копия свидетельства о государственной регистрации предприятия;
• копии учредительных документов (устава, договора и т.д.) с предъявлением оригиналов, если копии не заверены нотариусом;
• копии документов, подтверждающих право собственности, право полного хозяйственного ведения, и (или) договора аренды на имущество, необходимое на ведение заявленной деятельности;
• справка налогового органа о постановке на учет;
• представление органов государственной власти Российской Федерации с рекомендацией или ходатайством о выдаче лицензии;
• документ, подтверждающий оплату рассмотрения заявления.
Проведение специальной экспертизы осуществляется экспертными комиссиями, формируемыми либо Лицензионным центром ФАПСИ, либо аттестационными центрами в рамках определенных этим центрам полномочий.
Возможны два варианта проведения лицензирования:
Первый вариант. Предприятие подает заявление на получение лицензии со всеми перечисленными выше документами, считая его одновременно и заявкой на проведение специальной экспертизы, результаты которой затем прилагаются к поданному заявлению. Датой принятия заявления к рассмотрению в этом случае считается дата утверждения экспертного заключения. Этот вариант является основным.
Второй вариант. Предприятие заранее, на основании отдельной заявки, получает экспертное заключение в Лицензионном центре ФАПСИ или в рекомендованном ему аттестационном центре и вместе с другими требуемыми документами направляет его с заявлением. Датой принятия заявления к рассмотрению в этом случае считается дата регистрации в ФАПСИ полного пакета всех необходимых правильно оформленных документов.
Решение о выдаче или отказе в выдаче лицензии принимается в течение 30 дней со дня принятия заявления к рассмотрению. Выдача лицензий или мотивированных отказов в выдаче лицензий, принятие решений о приостановлении или аннулировании лицензий является прерогативой генерального директора ФАПСИ. Оформленная надлежащим образом лицензия (подписанная генеральным директором ФАПСИ, удостоверенная гербовой печатью Агентства, имеющая уникальный номер, проставленный срок действия и дату регистрации ее в Государственном реестре лицензий ФАПСИ) вручается лицензиату установленным порядком. Копия лицензии хранится в Лицензионном центре Федерального агентства.
Лицензионный центр ФАПСИ вправе на этапе предварительного рассмотрения заявления согласовать с предприятием вопрос о снятии заявления или изменения запрашиваемого объема работ. Если заявление оформлено правильно и в приложении имеются все необходимые документы, то Лицензионный центр ФАПСИ регистрирует поступившие документы и направляет заявителю уточненные для него требования по конкретным видам деятельности, а также указывает аттестационный центр, который будет проводить специальную экспертизу.
Подготовленное на основании требований обоснование необходимых условий для осуществления работ по заявленным видам деятельности заявитель представляет в определенный для него аттестационный центр, после чего заключается договор на проведение специальной экспертизы. Если представленная документация или сведения не полны, ФАПСИ не принимает такое заявление к рассмотрению.
Организация и проведение специальных экспертиз предприятий, в целом возлагается на Лицензионный центр ФАПСИ или уполномоченный аттестационный центр.
Специальная экспертиза заявителя осуществляется на основании заявки предприятия, содержащей лицензируемые виды деятельности и перечни необходимых для их обеспечения производственного и испытательного оборудования, нормативной и методической документации, имеющихся на предприятии, краткой характеристики состава и квалификации персонала предприятия.
Специальная экспертиза заявителя осуществляется экспертной комиссией, состав которой и примерные сроки работы доводятся до заявителя официальным порядком.
В случае необходимости аттестация руководителей предприятий или лиц, уполномоченных ими на руководство лицензируемой деятельностью, может быть проведена Лицензионным центром ФАПСИ или аттестационным центром в ходе проведения специальной экспертизы предприятия. Экспертная комиссия вправе засчитать в качестве документа об аттестации руководителя предприятия официальный документ о прохождении переподготовки по соответствующему профилю на курсах, имеющих лицензию на осуществление учебной деятельности и право квалифицировать уровень полученных знаний.
Расходы на специальную экспертизу, а также на аттестацию руководителя предприятия полностью относятся на счет заявителя. Экспертиза проводится на основе хозяйственного договора между Лицензионным центром ФАПСИ или аттестационным центром и предприятием-заявителем. Оплата работы членов экспертной комиссии производится исключительно центром, осуществлявшим экспертизу, за счет средств, получаемых в соответствии с указанным договором.
Конкретный порядок проведения специальных экспертиз заявителей, методические рекомендации по организации и проведению аттестации, руководителей предприятий или лиц, уполномоченных ими на руководство лицензируемой деятельностью, определяются ведомственной инструкцией, разрабатываемой Лицензионным центром ФАПСИ.
Целями такой экспертизы являются:
• обоснованное отнесение какого-либо аппаратного, аппаратно-программного или программного средства или его функциональной части, встроенного блока, программного модуля к категориям средств защиты информации, средств криптографической защиты информации (шифровальных средств) и(или) защищенного оборудования;
• обоснованное отнесение научно-технической и(или) нормативно-технической документации или технологии к категориям информации и технологии двойного применения, которые могут быть использованы при создании военной техники;
• определение уровня защищенности конфиденциальной информации при ее обработке, хранении и передаче по линиям связи, а также эффективности контроля ее защиты в конкретных защищенных системах и комплексах телекоммуникаций, объектах информатики и информационно телекоммуникационных системах и комплексах;
• определение уровня эффективности обнаружения закладных электронных устройств перехвата информации техническими средствами;
• контроль за деятельностью лицензиатов в области защиты информации.
Техническая экспертиза проводится па основании решения Федерального агентства или Лицензионного центра ФАПСИ либо самим Лицензионным центром, либо, по его поручению, аккредитованными аттестационными или испытательными сертификационными центрами (лабораториями), а также в предусмотренных законодательными или иными нормативными актами Российской Федерации случаях на основании обращений судебных, правоохранительных, таможенных, налоговых органов или отдельных предприятий, по заявлениям субъектов лицензионной и внешнеторговой деятельности в области защиты информации.
Вопросы.
1. Лицензирование и сертификация в области защиты информации?
2. Законодательство в области лицензирования и сертификации?
3. Нормы и требования российского законодательства в области лицензирования и сертификации?
4. Постановление Правительства РФ № 21.95-1 "О видах деятельности которыми предприятия вправе заниматься только на основан:: специальных разрешений (лицензий)".
5. Закон РФ "О федеральных органах правительственной связи и информации №4524-1?
6. Закон Российской Федерации от 21.07.93 "О государственной тайне". 5485-1?
7. Постановление Правительства РФ от 24.12.94 № 1418 "О лицензирован:: отдельных видов, деятельности"?
8. Закон РФ "Об информации, информатизации и защите информации" 20.02.95 № 24-ФЗ?
9. Указ Президента РФ № 334 "-О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрован: информации"?
10.Постановление Правительства РФ от 15 апреля 1995 года № 333 лицензировании деятельности предприятий, учреждений и организаций проведению работ, связанных с использованием сведений, составляют.] государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защи государственной тайны"?
11.Постановление Правительства РФ от 26.06.95 № 608 "О сертификат средств защиты информации"?
12.Закон РФ "Об участии в международном информационном обмене" от 5 июня 1996 года № 85-ФЗ
13.Какие виды деятельности подлежат лицензированию?
14.Какие средства подлежат сертификации Федеральным агентством?
Тема 8. Критерии безопасности компьютерных систем "Оранжевая книга". Руководящие документы Гостехкомиссии
8.1. Критерии безопасности компьютерных систем. "Оранжевая книга"
Наиболее известным документом, определяющим критерии, по которым должна оцениваться защищенность вычислительных систем, и те механизмы защиты, которые должны использоваться в системах обработки секретной (конфиденциальной) информации, является так называемая "Оранжевая книга", представляющая собой стандарт США "Критерии, оценки гарантированно защищенных вычислительных систем в интересах министерства обороны США", принятый в 1983 году. Его принятию предшествовало пятнадцатилетние исследования, проводившиеся специально созданной рабочей группой и национальным бюро стандартов США.
Стандартом предусмотрено шесть фундаментальных требований, которым должны удовлетворять те вычислительные системы, которые используются для обработки конфиденциальной информации. Требования разделены на три группы: стратегия, подотчетность, гарантии - в каждой группе по два требования следующего содержания.
1. Стратегия.
Требование 1 - стратегия обеспечения безопасности: необходимо иметь явную и хорошо определенную стратегию обеспечения безопасности.
Требование 2 - маркировка: управляющие доступом метки должны быть связаны с объектами.
2. Подотчетность.
Требование 3 - идентификация: индивидуальные субъекты, должны идентифицироваться.
Требование 4 подотчетность: контрольная информация должна храниться отдельно, и защищаться так, чтобы со стороны ответственной, за это группы имелась возможность отслеживать действия, влияющие на безопасность.
3. Гарантии.
Требование 5 - гарантии: вычислительная система в своем составе должна иметь аппаратные/программные механизмы, допускающие независимую оценку на предмет достаточного уровня гарантии того, что система обеспечивает выполнение изложенных выше требований (с первого по четвертое).
Требование 6 - постоянная защита: гарантированно защищенные механизмы, реализующие перечисленные требования, должны быть постоянно защищены от «взламывания» и/или несанкционированного внесения изменений.
В зависимости от конкретных значений, которым отвечают автоматизированные системы, они разделены на четыре группы (D, С, В, А), которые называются:
D - минимальная защита;
С - индивидуальная защита;
В - мандатная защита;
A - верифицированная защита.
Группы систем делятся на классы: системы относимые к группе D образуют один класс D, к группе С - два класса С1 и С2, к группе В - три класса В1, В2, ВЗ,: группе А - один класс А1 с выделением части систем вне класса.
Краткая характеристика классов
D - минимальная защита - системы, подвергнутые оцениванию, но не отвечающие требованиям более высоких классов;
С1 - защита, основанная на индивидуальных мерах - системы, обеспечивающие разделение пользователей и данных. Они содержат внушающие доверие средства, способные реализовать ограничения по доступу, накладываемые на индивидуальной основе, т.е. позволяющие пользователям иметь надежную защиту их информации и не дающие другим пользователям считывать или разрушать их данные. Допускается кооперирование пользователей по уровням секретности;
С2 - защита, основанная на управляемом доступе - системы, осуществляющие не только разделение пользователей как в системах С1, но и разделение их по осуществляемым действиям;
В1 - защита, основанная на присваивании имен отдельным средствам безопасности - системы, располагающие всеми возможностями систем класса С, и дополнительно должны быть формальные модели механизмов обеспечения безопасности, присваивания имен защищаемым данным (включающим и выдаваемым за пределы системы) и средства мандатного управления доступом ко всем поименованным субъектам и объектам;
В2 - структурированная защита - системы, построенные на основе ясно определенной формально задокументированной модели, с мандатным правлением доступом ко всем субъектам и объектам, располагающие усиленными средствами тестирования и средствами управления со стороны администратора-системы;
В3 - домены безопасности — системы, монитор обращений. Которых контролирует все запросы на доступ субъектов к объектам, не допускающие несанкционированных изменений. Объем монитора должен быть небольшим с тем, чтобы его состояние и работу можно было сравнительно легко контролировать и тестировать. Кроме того должны быть предусмотрены: сигнализация о всех попытках несанкционированных действий и восстановление работоспособности системы;
А1 - верифицированный проект - системы, функционально эквивалентные системам класса ВЗ, но верификация которых осуществлена строго формальными методами. Управление системой осуществляется по строго определенным процедурам. Обязательно введение должности администратора безопасности.
За время, прошедшее со времени разработки требований «Оранжевой книги», многие из них уже устарели. Появился ряд новых требований к безопасности компьютерных систем, не отраженных в «Оранжевой книги». Это связано с тем, что за это время было обнаружено множество ранее неизвестных угроз безопасности компьютерных систем.
К основным недостаткам «Оранжевой книги» относятся следующие:
• совершенно не рассматриваются криптографические средства защиты информации;
• практически не рассматриваются вопросы обеспечения защиты системы от атак, направленных на временный вывод системы из строя (атаки класса «отказ в обслуживании»);
• не уделяется должного внимания вопросам защиты защищаемой системы от негативных воздействий программных закладок и компьютерных вирусов;
• недостаточно подробно рассматриваются вопросы взаимодействия нескольких экземпляров защищенных систем в локальной или глобальной вычислительной сети;
• требования к средствам защиты от утечки конфиденциальной информации из защищенной системы ориентированы на хранение конфиденциальной информации в базах данных и мало приемлемы для защиты электронного документооборота.
8.2. Руководящие документы Гостехкомиссии
В 1992 году Гостехкомиссия при Президенте Российской Федерат: опубликовала пять руководящих документов, посвященных вопросам защит! компьютерных систем:
• «Защита от несанкционированного доступа к информации термины и определения»;
• «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа информации»;
• «Средства вычислительной техники. Защита от несанкционированно; доступа к информации. Показатели защищенности с несанкционированного доступа к информации»;
• «Автоматизированные, системы. Защита от несанкционированного доступа к информации: Классификация автоматизированных систем и требования по защите информации»;
• «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты секретной информации от несанкционированного доступа в автоматизированных системах и средства вычислительной техники».
Рассмотрим один из основных руководящих документов «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». В данном документе выделено девять классов защищенности автоматизированных систем от несанкционированного доступа к информации, а для каждого класса определен минимальный состав необходимых механизмов защиты и требования к содержанию защитных функций каждого из механизмов в каждом из классов систем.
Классы систем разделены на три группы, причем основным критерием деления на группы приняты специфические особенности обработки информации, а именно:
третья группа - системы, в которых работает один пользователь, допущенный ко всей обрабатываемой информации, размещенной на носителях одного уровня конфиденциальности. К группе отнесены два класса, обозначенные ЗБ и ЗА:
вторая группа - системы, в которых работает несколько пользователей, которые имеют одинаковые права доступа ко всей информации, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности. К группе отнесены два класса, обозначенные 2Б и 2А;
первая группа - многопользовательские системы, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности, причем различные пользователи имеют различные права на доступ к информации. К группе отнесено пять классов: 1Д, 1Г, 1В, 1Б, 1А.
Требования к защите растут от систем класса ЗБ к классу 1А.
Все механизмы защиты разделены на четыре подсистемы следующего назначения:
1. управления доступом;
2. регистрации и учета;
3. криптографического закрытия;
4. обеспечения целостности.
Состав перечисленных подсистем приведен в табл.7.1. причем знаком (+) обозначена необходимость соответствующих средств для каждой группы систем приведено в рассматриваемом документе.
Табл. 7.1. Состав средств защиты для типовых систем.
| Подсистемы и требования | Классы систем | |||||||||||||||||||
| ЗБ | ЗА | 2Б | 2А | 1Д | 1Г | 1В | 1Б | 1А | ||||||||||||
| 1. Подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов в систему: | + | + | + | + | + | + | + | + | + | |||||||||||
| к терминалам. ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ: | + | + | + | + | + | |||||||||||||||
| к программам; | + | + | + | + | + | |||||||||||||||
| к томам, каталогам, файлам, записям, полям записей. | + | + | + | + | ||||||||||||||||
| 1.2. Управление потоками информации. | + | + | + | + | ||||||||||||||||
| 2. Подсистема регистрации и учета 2.1. Регистрация и учет: Входа/выхода субъектов доступа в/из системы (узла сети); | + | + | + | + | + | + | + | + | + | |||||||||||
| выдачи печатных (графических) выходных документов: | - | ч | - | ч | - | + | + | + | + | |||||||||||
| запуска/завершения программ процессов (заданий, задач); | - | - | - | ч | - | + | + | + | + | |||||||||||
| доступа программ субъектов доступа к защищаемым файлам, включая их создание и, удаление, передачу по линиям и каналам связи; | _|_ | + | + | + | ||||||||||||||||
| доступа программ субъектов доступа к ■терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей; | + | + | ||||||||||||||||||
| Изменения полномочий субъектов доступа; | - | - | - | - | - | - | + | + | + | |||||||||||
| создаваемых защищаемых объектов доступа. | - | - | ч | - | - | + | + | + | ||||||||||||
| 1 2.2. Учет носителей информации. | Л- | + | ч | ч | + | ч | ч | ч | ч | |||||||||||
| 2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей. | ч | ч | л_ | ч | ч | |||||||||||||||
| 2.4. Сигнализация попыток нарушения защиты. | - | - | - | - | - | - | ч | + | ||||||||||||
| 3. Криптографическая подсистема 3.1. Шифрование конфиденциальной информации. | - | - | - | л_ | - | - | - | ч | ||||||||||||
| 3.2. шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | ||||||||||||||||||||
| 3.3. Использование аттестованных (сертифицированных) криптографических средств. | ||||||||||||||||||||
| 4. Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации. | л | 3- | + | - | ||||||||||||||||
| 4.2. Физическая охрана средств вычислительной техники и носителей информации. | + | Л- | ||||||||||||||||||
| 4.3. Наличие администратора (службы) защиты информации в АСОД. | - | - | - | _ь | - | |||||||||||||||
| 4.4. Периодическое тестирование СЗИ нсд. | м | + | Л" | 4_ | + | — — | ||||||||||||||
| 4.5. Наличие средств восстановления СЗИ НСД. | т | + | + | т | _|_ | 4_ | __ ____ | |||||||||||||
| 4.6. Использование сертифицированных средств зашиты. | - | + | - | + | - | - | ~г | |||||||||||||
Наличие рассмотренных методик и закрепление их в официальных документах создает достаточно надежную базу для защиты информации на регулярной основе..
Однако нетрудно видеть, что с точки зрения современной постановки задачи защиты информации, имеющиеся методики являются недостаточными по ряду причин, а именно:
1. методики ориентированы на защиту информации только в средствах ЭВТ, в то время как имеет место устойчивая тенденция органического сращивания автоматизированных и традиционных технологий обработки информации;
2. учитываются далеко не все факторы, оказывающие существенное влияние на уязвимость информации, a потому и подлежащие учету при определении требований к защите:
3. в научном плане они обоснованы недостаточно (за исключением требований к защите информации от утечки по техническим каналам).
Вопросы.
1. Критерии безопасности компьютерных систем?
2. Оранжевая книга это?
3. Какие определены в Оранжевой книге группы фундаментальных требований?
4. Требования группы фундаментальных требований Оранжевой книги «Стратегия»?
5. Требования группы фундаментальных требований Оранжевой книги «Подотчетность»
Глоссарий
Алгоритмический контроль заключается в том, что задача, решенная по какому-либо алгоритму, проверяется повторно по сокращенному алгоритму с достаточной степенью точности.
Атака - это действие, предпринимаемое нарушителем в поиске и использовании той или иной уязвимости. Угрозы могу быть разделены на угрозы независящие от деятельности человека и искусственные угрозы, связанные с деятельностью человека.
Аутентификация - установление подлинности, заключается в проверке, является ли проверяемый объект (субъект) в самом деле, тем за кого себя выдает.
Биометрические технологии - это идентификация человека по уникальным, присущим только ему биологическим признакам.
Владелец информации - субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.
Владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);
Вредоносные программы это программы к которым относятся: классические файловые вирусы, сетевые черви, троянские программы, спам, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.
Дешифровывание - это процесс, при котором из шифротекста извлекается открытый текст.
Доступ к информации - получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств.
Естественные угрозы - это угрозы, вызванные воздействиями на АСОИ и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.
Закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.
Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защита информации от агентурной разведки - деятельность по предотвращению получения защищаемой информации агентурной разведкой.
Защита информации от иностранной технической разведки - деятельность по предотвращению получения защищаемой информации иностранной разведкой с помощью технических средств.
Защита информации от аварийных ситуаций заключается в создании средств предупреждения, контроля и организационных мер по исключению НСД на комплексе средств автоматизации в условиях отказов его функционирования, отказов системы защиты информации, систем жизнеобеспечения людей на объекте размещения и при возникновении стихийных бедствий.
Защита информации от иностранной разведки - деятельность по предотвращению получения защищаемой информации иностранной разведкой.
Защита информации от непреднамеренного воздействия - деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от несанкционированного воздействия - деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от несанкционированного доступа – деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
Защита информации от разглашения - деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации [иностранными] разведками.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Собственником информации может быть - государство, юридическое лицо, группа физических, лиц, отдельное физическое лицо.
Злоумышленником будем называть нарушителя, намеренно идущего на нарушение из корыстных побуждений.
Идентификация - это присвоение какому-либо объекту или субъекту уникального образа, имени или числа.
Интернет - это объединение в масштабе всей планеты группы сетей, которое использует единый протокол для передачи данных.
Информационная безопасность РФ – состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Информационная система - совокупность документов и массивов документов и информационных технологий.
Информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;
Информационные процессы - процессы сбора, накопления, обработки хранения, распределения и поиска информации.
Информационными ресурсами называют документы или массив документов существующие отдельно или в составе информационной системы.
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Информация является одним из объектов гражданского права в том числе и прав собственности, владения, пользования.
Искусственные угрозы - это угрозы АСОИ, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить непреднамеренные и преднамеренные.
Категорирование защищаемой информации - установление градаций важности защиты защищаемой информации.
Классические вирусы - это программы, распространяющие свои копии по ресурсам локального компьютера с целью нанесения вреда.
Ключ используется в процессе шифровки и дешифровки.
Кодирование информации осуществляется заменой слов и предложений исходной информации - кодами.
Компьютерные преступления против государственных и общественных интересов включают преступления, направленные против государственной и общественной деятельности (например, угрожающие обороноспособности государства, злоупотребления с автоматизированными системами голосования и т.д.).
Компьютерными преступлениями против личных прав и частной сферы являются незаконный сбор данных о лице, разглашение частной информации (например, банковской или врачебной тайны, информации о расходах и т.д.).
Контроль доступа к аппаратуре - это означает, что внутренний монтаж аппаратуры и технологические органы и пульты управления, закрытые крышками, дверцами на которые установлены датчики.
Контроль организации защиты информации - проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
Контроль состояния защиты информации - проверка соответствия организации и эффективности защиты информации, установленным требованиям и/или нормам в области защиты информации.
Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
Конфиденциальность информации - это известность ее содержания только имеющим соответствующие полномочия субъектам.
Корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Кракер - лицо, изучающее систему с целью ее взлома. Именно кракеры реализуют свои криминальные наклонности в похищении информации и написании вирусов разрушающих ПО. Они применяют различные способы атак на компьютерную систему, используя принципы построения протоколов сетевого обмена. Кракеры разрабатывают специальное программное обеспечение, засылая его на взломанную машину.
Криптоанализ - исследование возможности расшифровки информации без ключа.
Криптография занимается построением и исследованием математических методов преобразования информации.
Мероприятие по защите информации - совокупность действий по разработке и/или практическому применению способов и средств защиты информации.
Мероприятие по контролю эффективности защиты информации - совокупность действий по разработке и/или практическому применению методов, способов и средств контроля эффективности защиты информации.
Метод контроля эффективности защиты информации - порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.
Нарушитель - это лицо, предпринявшее попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.
Непреднамеренное воздействие на защищенную информацию - это воздействие на нее из-за ошибок пользователя, сбоя техники или программных средств, природных явлений и т.д.
Непреднамеренные угрозы (неумышленные, случайные) - вызванные ошибками при работе.
Несанкционированное воздействие на защищенную информацию это воздействие с нарушением правил ее изменения.
Несанкционированный доступ - получение защищенной информации заинтересованным субъектом с нарушением правил доступа к ней.
Нормы эффективности защиты информации - значения показателей эффективности защиты информации, установленные нормативными документами.
Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов.
Объект защиты - информация или носитель информации или информационный процесс в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Ограничение доступа заключается в создании некоторой физической замкнутой преграды вокруг объекта защиты с организацией контролируемого доступа лиц, связанных с объектом защиты по своим функциональным обязанностям.
Одноалфавитная подстановка - прямая замена символов шифруемого сообщения другими буквами того же самого или другого алфавита.
Орган защиты информации - административный орган, осуществляющий организацию защиты информации.
Организационные мероприятия по защите информации в АСОИ заключаются в разработке и реализации административных и организационно-технических мер при подготовке и эксплуатации системы.
Организационный контроль эффективности защиты информации - проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.
Организация защиты информации - содержание и порядок действий по обеспечению защиты информации.
Открытый ключ электронной цифровой подписи – уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;
Подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;
Показатель эффективности защиты информации - мера или характеристика для оценки эффективности защиты информации.
Пользователь (потребитель) информации - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
Пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи
Правило доступа к информации - совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.
Право доступа к информации - совокупность правил доступа к информации, установленных правовыми документами или собственником, владельцем информации.
Преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
Предоставление привилегий на доступ к информации заключается в том, что из числа допущенных к ней должностных лиц выделяется группа, которой предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.
Разграничение доступа в вычислительной системе заключается в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями.
Сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
Сертификат средств электронной цифровой подписи - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;
Сетевые черви - это программы, распространяющие свои копии по локальным и/или глобальным сетям с определенной целью.
Сжатие информации - это метод криптографического преобразования информации.
Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно распорядительными и нормативными документами по защите информации.
Скамеры - это мошенники, рассылающие свои послания, в надежде поймать на наживку наивных и жадных. Интернет-телефония становится все более популярной. На сегодня зарегистрировано уже довольно много случаев обращения мошенников к пользователям Skуре - сервисом IР-телефонии, позволяющим пользователям связываться посредством - компьютер-компьютер и компьютер-телефон.
Собственник информации - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
Спамеры — это те, от кого приходят в наши почтовые ящики не запрошенные массовые рассылки.
Способ защиты информации – порядок и правила применения определенных принципов и средств защиты информации.
Средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.
Средство контроля эффективности защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации.
Стеганография - это метод скрытой передачи информации.
Стойкость метода - это тот минимальный объем зашифрованного текста, статистическим анализом которого можно вскрыть исходный текст. Таким образом, стойкость шифра определяет допустимый объем информации, зашифровываемый при использовании одного ключа.
Субъект доступа к информации - участник правоотношений в информационных процессах. Информационные процессы - процессы создания, обработки, хранения, защиты от внутренних и внешних угроз передачи, получения, использования и уничтожения информации.
Тестовый контроль применяется для проверки работоспособности комплекса средств автоматизации при помощи испытательных программ.
Техника зашиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
Технический контроль эффективности защиты информации - контроль эффективности защиты информации, проводимой с использованием средств контроля.
Троянские кони - это программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера.
Трудоемкость метода определяется числом элементарных операций, необходимых для шифрования одного символа исходного текста.
Угроза информационной безопасности в компьютерной системе – это события или действия, которые могут вызвать изменения функционирования КС, связанные с нарушением защищенности информации обрабатываемой в ней.
Удаленна атака это несанкционированное информационное воздействие на распределенную вычислительную систему, программно осуществляемое по каналам связи.
Утечка информации - это неконтролируемое распространение защищенной информации путем ее разглашения, несанкционированного доступа.
Уязвимость информации - это возможность возникновения на каком-либо этапе жизненного цикла КС такого ее состояния при котором создается условия для реальной угрозы безопасности в ней
Фишеры (от английского fisher - рыбак) - сравнительно недавно появившаяся разновидность интернет-мошенников, которые обманным путем выманивают у доверчивых пользователей сети конфиденциальную информацию: различные пароли, пин-коды, данные, используя фальшивые электронные адреса и поддельные вебсайты и т.п.
Фишинг (ловля на удочку) - это распространение поддельных сообщений от имени банков или финансовых компаний. Целью такого сообщения является сбор логинов, паролей и пин-кодов пользователей.
Фракеры - приверженцы электронного журнала Рhrасk, осуществляют взлом интрасети в познавательных целях для получения информации о топологии сетей, используемых в них программно-аппаратных средствах и информационных ресурсах, а также реализованных методах защиты. Эти сведения могут тем или иным способом (покупка, хищение и т.п.), попасть к заинтересованным в них лицам, которые и осуществят НСД.
Хакерами в XIX веке называли плохих игроков в гольф, своего рода дилетантов.
Цель защиты информации - предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
Черный пиар - это акция, которая имеет цель опорочить ту или иную фирму, компанию, политического кандидата и т.п.
Шифрование - изменение исходного текста так, чтобы скрыть от посторонних его содержание.
Шифрование информации - это преобразование информации, в результате которого содержание информации становится непонятным для субъекта, не имеющего соответствующего доступа. Результат шифрования называется шифротекстом.
Шифротекст - это зашифрованное сообщение.
Экономические компьютерные преступления являются наиболее распространенными. Они совершаются по корыстным мотивам и включают в себя компьютерное мошенничество, кражу программ ("компьютерное пиратство"), кражу услуг и машинного времени, экономический шпионаж.
Электронная цифровая подпись - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе:
Электронная цифровая подпись (англ. digitаl signature) - это цифровой код (последовательность символов) присоединяемый к электронному сообщению для идентификации отправителя.
Электронный документ - это документ, в котором информация представлена в электронно-цифровой форме.
Эффективность защиты информации – это степень соответствия результатов защиты информации поставленной цели. Объектом защиты может быть информация, ее носитель, информационный процесс, в отношении которого необходимо производить защиту в соответствии с поставленными целями.
Сычев Ю.Н. ИБ. Москва, 2010
