Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
ванной (формально доказанной) защиты (класс А1). Требования «Оранжевой книги» явились первой попыткой создать единый стандарт безопасности КС, рассчитанный на проектировщиков, разработчиков (программистов), пользователей подобных систем и специалистов по их сертификации.
Отличительной чертой этого стандарта является ориентация на государственные (в первую очередь военные) организации и операционные системы.
В 1992 г. Гостехкомиссия России опубликовала первый комплект руководящих документов по защите средств вычислительной техники (СВТ) и автоматизированных систем (АС) от несанкционированного доступа.
СВТ не решают непосредственно прикладных задач, а используются в качестве элементов АС. Примерами СВТ являются плата расширения BIOS с соответствующим аппаратным и программным интерфейсом для аутентификации пользователей АС или программа «прозрачного» шифрования информации на жестком диске.
В руководящих документах Гостехкомиссии России определены семь классов защищенности СВТ от несанкционированного доступа к обрабатываемой (сохраняемой, передаваемой) с помощью этих средств информации (наиболее защищенным является первый класс),
АС рассматривается как комплекс СВТ и имеет дополнительные характеристики: полномочия пользователей, модель нарушителя, технология обработки информации. Типичным примером АС является многопользовательская и многозадачная операционная система.
В руководящих документах Гостехкомиссии России определены девять классов защищенности АС от несанкционированного доступа, объединенных в три группы:
однопользовательские АС с информацией, размещенной на
носителях одного уровня конфиденциальности (класс ЗБ и ЗА);
многопользовательские АС с одинаковыми полномочиями
пользователей и информацией на носителях разного уровня кон
фиденциальности (классы 2Б и 2А);
многопользовательские АС с разными полномочиями пользова
телей и информацией разного уровня конфиденциальности (в по
рядке возрастания защищенности от класса 1Д до класса 1А).
Под несанкционированным доступом к информации в руководящих документах Гостехкомиссии России понимается доступ к информации, нарушающий установленные правила разграничения доступа и использующий штатные возможности СВТ и АС. Руководящие документы Гостехкомиссии России, подобно «Оранжевой книге», ориентированы прежде всего на применение в КС силовых структур Российской Федерации.
Дальнейшее развитие стандартов в области информационной безопасности КС привело к появлению европейских «Критериев оценки безопасности информационных технологий» (Information Technology Security Evaluation Criteria), американских «Федеральных критериев безопасности информационных технологий» (Federal Criteria for Information Technology Security), канадских «Критериев оценки безопасности компьютерных продуктов» (Canadian Trusted Computer Product Evaluation Criteria) и завершилось на сегодняшний день принятием «Общих критериев оценки безопасности информационных технологий» (Common Criteria for Information Technology Security Evaluation).
«Общие критерии...» адресованы трем группам специалистов (пользователям, разработчикам и экспертам по классификации КС) и представляют собой новый межгосударственный уровень в стандартизации безопасности информационных технологий.
В Российской Федерации «Общие критерии...» изданы в качестве ГОСТа (ГОСТ РИСО/МЭК 15408-2001 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»).
В «Общих критериях...» предложена система функциональных требований к защищенным КС и критерии их независимого ранжирования.
Иначе говоря, в этих стандартах не устанавливается линейная шкала уровней безопасности КС, характерная для «Оранжевой книги». Это объясняется тем, что для одних КС наиболее важным требованием является идентификация и аутентификация пользователей, а для других — реализация конкретной политики разграничения доступа к ресурсам или обеспечение доступности информации.
КОНТРОЛЬНЫЕ ВОПРОСЫ
В каких формах может быть представлена информация?
Какая информация называется документированной?
Что относится к информации ограниченного доступа?
Что понимается под защитой информации?
Что относится к основным характеристикам защищаемой инфор
мации?
Что такое угроза безопасности информации? Каковы основные виды
угроз?
Какие существуют каналы утечки конфиденциальной информации?
Что такое ПЭМИН?
В чем сущность системно-концептуального подхода к защите ин
формации в компьютерных системах?
Почему проблема защиты информации не может быть решена с
помощью только формальных методов и средств?
В чем сущность организационной защиты информации?