1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.

Презентация:



Advertisements
Похожие презентации
Стандарты по оценке защитных систем. стандарты и спецификации двух разных видов: оценочные стандартов, направленные на классификацию информационных систем.
Advertisements

Лекция 6 - Стандарты информационной безопасности в РФ 1. Введение 2. ФСТЭК и его роль в обеспечении информационной безопасности в РФ 3. Документы по оценке.
МОДЕРНИЗАЦИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЛЯ ФГУП «РОСТЕХИНВЕНТАРИЗАЦИЯ – ФЕДЕРАЛЬНОЕ БТИ» ДИПЛОМНИК: ХОРОШИХ Г.П. РУКОВОДИТЕЛЬ: АРАЛБАЕВ Т.З.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Корт С.С., СПбГПУ. Приказ ФСТЭК России от Отсутствие требований по применению сертифицированных средств защиты Изъятие требований по лицензированию.
Основные принципы защиты информации в компьютерных системах. Антонова И.М. гр. И-411.
1 Понятие о необходимости встроенных средств защиты на уровне ОС Подготовила: Студентка гр.И-411 Сартакова Е.Л.
ГОСТЕХКОМИССИЯ РОССИИ РУКОВОДЯЩИЙ ДОКУМЕНТ Защита от несанкционированного доступа к информации.
Доработки ядра СУБД Firebird для обеспечения соответствия требованиям класса 1Г ФСТЭК по защите конфиденциальной информации Николай Самофатов, Технический.
Требования к доверенной третьей стороне в интегрированной информационной системе Евразийского экономического союза.
Средства и тактика получения информации из защищенных компьютерных систем Макаренков Д.Е. Лекция по дисциплине «Компьютерная разведка»
Защита Информации. эффективность защиты информации в автоматизированных системах достигается применением средств защиты информации (СЗИ). Под средством.
Использование сертифицированных СЗИ от НСД для Linux при построении защищенных автоматизированных систем Инфофорум-2012 Юрий Ровенский Москва, 7 февраля.
ПРОЕКТ РУКОВОДЯЩЕГО ДОКУМЕНТА Гостехкомиссии России «СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ ЗАЩИТА ИНФОРМАЦИИ ОТ НСД АЛГОРИТМЫ ЗАЩИТНОГО КОНТРОЛЬНОГО СУММИРОВАНИЯ.
Проведение мониторинга технического обеспечения и соблюдения норм информационной безопасности в региональных центрах обработки информации субъектов Российской.
Практический опыт реализации требований по защите персональных данных МУ Информационно-методический центр Ходячих Андрей Викторович.
Предотвращение компьютерной преступности Меры … Меры …
Лекция 15 - Методы разграничение доступа. Регистрация и аудит.
Центр безопасности информации Процедуры аттестации и сертификации и их взаимосвязь в свете реализации требований 152 ФЗ.
Лекция 4 - Стандарты информационной безопасности: «Общие критерии» 1. Введение 2. Требования безопасности к информационным системам 3. Принцип иерархии:
Транксрипт:

1 Критерии и классы защищенности средств вычислительной техники и автоматизированных систем Подготовила: студентка гр.И-411 Сартакова Е.Л.

2 Нормативные документы по критериям оценки защищенности СВТ и АС: Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.

3 Наиболее полно представлены критерии защищенности СВТ и АС в международном стандарте ISO «Общие критерии оценки безопасности информационных технологий».

4 Уязвимости: Наличие побочных каналов утечки информации; Ошибки в конфигурации либо неправильное использование системы, приводящее к переходу в небезопасное состояние; Недостаточная надежность (стойкость) механизмов безопасности, реализующих соответствующие функции безопасности; Наличие уязвимостей ("дыр") в средствах защиты информации, дающих возможность пользователям получать НСД к информации в обход существующих механизмов защиты.

5 Для СВТ устанавливается семь классов защищенности от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый. Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты.

6 Перечень показателей по классам защищенности СВТ Наименование показателя Класс защищенности Дискреционный принцип контроля доступа +++=+= Мандатный принцип контроля доступа --+=== Очистка памяти -+++== Изоляция модулей --+=+= Маркировка документов --+=== Защита ввода и вывода на отчуждаемый физический носитель информации --+=== Сопоставление пользователя с устройством --+=== Идентификация и аутентификация +=+=== Гарантии проектирования

7 Наименование показателя Класс защищенности Регистрация -+++== Надежное восстановление ---+== Контроль модификации ----+= Контроль дистрибуции ----+= Гарантии архитектуры Тестирование +++++= Руководство для пользователя +===== Руководство по КСЗ ++=++= Тестовая документация +++++=

8 Оценка класса защищенности СВТ (сертификация СВТ ) Оценка класса защищенности СВТ проводится в соответствии с Положением о сертификации средств и систем вычислительной техники и связи по требованиям защиты информации, Временным положением по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники и другими документами.

9 Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.

10 К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся: наличие в АС информации различного уровня конфиденциальности; уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации; режим обработки данных в АС - коллективный или индивидуальный.

11 Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

12 Требования по защите информации от НСД для АС Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации.

13 Подсистемы и требования Классы 3Б3А 1. Подсистема управления доступом 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: в систему ++ к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ -- к программам -- к томам, каталогам, файлам, записям, полям записей Управление потоками информации

14 Подсистемы и требования Классы 3Б3А 2. Подсистема регистрации и учета 2.1. Регистрация и учет: входа (выхода) субъектов доступа в (из) систему(ы) (узел сети) ++ выдачи печатных (графических) выходных документов -+ запуска (завершения) программ и процессов (заданий, задач) -- изменения полномочий субъектов доступа -- Сигнализация попыток нарушения защиты ++

15 Подсистемы и требования Классы 3Б3А 3. Криптографическая подсистема 3.1. Шифрование конфиденциальной информации Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах Использование аттестованных (сертифицированных) криптографических средств Подсистема обеспечения целостности 4.1. Обеспечение целостности программных средств и обрабатываемой информации ++

16 Подсистемы и требованияКлассы 3Б3А 4.2. Физическая охрана средств вычислительной техники и носителей информации Наличие администратора (службы) защиты информации в АС Периодическое тестирование СЗИ НСД Наличие средств восстановления СЗИ НСД Использование сертифицированных средств защиты -+

17 Спасибо всем за внимание!!!