Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

NВипробування комплексу засобів захисту

Поиск

Вимоги до послуги безпеки (на прикладі КД)

КД-1. Мінімальна довірча конфіденційність КД-2. Базова довірча конфіденційність КД-3. Повна довірча конфіденційність КД-4. Абсолютна довірча конфіденційність
Політика довірчої конфіденційності, що реалізується КЗЗ, повинна визначати множину об'єктів КС, до яких вона відноситься Політика довірчої конфіденційності, що реалізується КЗЗ, повинна відноситись до всіх об'єктів КС
КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу
процесу і захищеного об'єкта користувача і захищеного об'єкта користувача, процесу і захищеного об'єкта
Запити на зміну прав доступу до об'єкта повинні оброблятися КЗЗ на підставі атрибутів доступу користувача, що ініціює запит, і об'єкта
КЗЗ повинен надавати користувачу можливість для кожного захищеного об'єкта, що належить його домену, визначити
конкретні процеси і/або групи процесів, які мають право одержувати інформацію від об'єкта конкретних користувачів і/або групи користувачів, які мають право одержувати інформацію від об'єкта конкретних користувачів (і групи користувачів), які мають, а також тих, які не мають права одержувати інформацію від об'єкта конкретних користувачів і процеси (і групи користувачів і процесів), які мають, а також тих, які не мають права одержувати інформацію від об'єкта
КЗЗ повинен надавати користувачу можливість для кожного процесу, що належить його домену, визначити
конкретних користувачів і/або групи користувачів, які мають право ініціювати процес конкретних користувачів (і групи користувачів), які мають, а також тих, що не мають права ініціювати процес
Права доступу до кожного захищеного об'єкта повинні встановлюватись в момент його створення або ініціалізації. Як частина політики довірчої конфіденційності повинні бути представлені правила збереження атрибутів доступу об'єктів під час їх експорту та імпорту
НЕОБХІДНІ УМОВИ: НИ-1 НЕОБХІДНІ УМОВИ: КО-1, НИ-1

 

Обмеження на функціональний профіль

NОбов’язково має виконуватись послуга “Цілісність комплексу засобів захисту” (щонайменше, рівень НЦ-1)

NМають бути задоволені усі вимоги специфікацій послуг щодо виконання інших послуг

¨КД, КА, ЦД, ЦА, ЦО, НР, НО, НА, НП à НИ-1 (ідентифікація, автентифікація)

¨КА, ЦА, КВ-2-4, ЦВ-2,3, ДР, ДС, ДЗ, ДВ, НР-2,5, НЦ-1, НТ-2 à НО-1 (виділення адміністратора)

¨КД-3,4, КА-3,4, ЦД-3,4, ЦА-3,4, КК à КО-1 (повторне використання об’єктів)

¨КК-2, КВ-4, НЦ-1 à НР-1 (реєстрація)

¨КВ-3,4, ЦВ-3 à НВ-1 (ідентифікація й автентифікація при обміні)

¨ДЗ-2,3 à ДС-1 (стійкість до відмов)

¨НИ-2,3 à НК-1 (достовірний канал)

¨КК, КВ-4 à Г-3

Класифікація АС і стандартні функціональні профілі ЗІ в КС

NКлас 1: одномашинний однокористувачевий комплекс

¨Окрема робоча станція, що не підключена до мережі

NКлас 2: локалізований багатомашинний багатокористувачевий комплекс

¨Локальна мережа

¨Багатотермінальний сервер

¨Кілька комп’ютерів, що не поєднані у мережу, але знаходяться у спільному приміщенні і виконують спільні завдання

NКлас 3: розподілений багатомашинний багатокористувачевий комплекс

¨Головна ознака – принципова неможливість повного контролю території, на якій знаходиться АС

Семантика профілю

nОпис профілю складається з трьох частин:

¨буквено-числового ідентифікатора

¨знака рівності

¨переліку рівнів послуг, взятого в фігурні дужки

nІдентифікатор у свою чергу включає:

¨позначення класу АС (1, 2 або 3)

¨буквену частину, що характеризує види загроз, від яких забезпечується захист (К, і/або Ц, і/або Д)

¨номер профілю і необов’язкове буквене позначення версії

NВсі частини ідентифікатора відділяються один від одного крапкою

¨Наприклад, 2.К.4 — функціональний профіль номер чотири, що визначає вимоги до АС класу 2, призначених для обробки інформації, основною вимогою щодо захисту якої є забезпечення конфіденційності

NВерсія може служити, зокрема, для вказівки на підсилення певної послуги всередині профілю

¨Наприклад, нарощування можливостей реєстрації приведе до появи нової версії

NВнесення деяких істотних змін, особливо додання нових послуг, може або привести до появи нового профілю, або до того, що профіль буде відноситись до іншого класу чи підкласу АС

 

Приклади стандартних функціональних профілів захищеності

n1.Ц.2 = { ЦА-2, ЦО-1,

n НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }

n1.Д.2 = { ДР-2, ДС-1, ДЗ-1, ДВ-2,

n НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-2 }

n1.Д.3 = { ДР-2, ДС-2, ДЗ-2, ДВ-2,

n НР-3, НИ-2, НК-1, НО-1, НЦ-2, НТ-2 }

n1.КЦ.2 = { КА-1, КО-1,

N ЦА-2, ЦО-1,

n НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1 }

n2.КЦ.2 = { КД-2, КО-1,

N ЦД-1, ЦО-1,

n НР-2, НИ-2, НК-1, НО-1, НЦ-2, НТ-1 }

n2.КЦД.2 = { КД-2, КА-2, КО-1,

N ЦД-1, ЦА-2, ЦО-1,

N ДР-1, ДВ-1,

n НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2 }

n3.КЦД.2 = { КД-2, КА-2, КО-1, КВ-2,

N ЦД-1, ЦА-2, ЦО-1, ЦВ-2,

N ДР-1, ДВ-1,

n НР-2, НИ-2, НК-1, НО-2, НЦ-2, НТ-2, НВ-1 }

НД ТЗІ 2.5-008-02

NПовна назва документа - Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2

NМета документа – надання нормативно-методологічної бази під час розроблення комплексів засобів захисту від НСД до конфіденційної інформації, яка обробляється в АС класу 2, створення КСЗІ, проведення аналізу та оцінки захищеності інформації від несанкціонованого доступу в системах такого класу, а також рекомендацій для визначення необхідного функціонального профілю захищеності інформації в конкретній АС

nВ документі наведені:

¨загальні вимоги до захисту конфіденційної інформації, які випливають з вимог чинного законодавства

¨характеристики типових умов функціонування АС класу 2. Розглянуті обчислювальна система, фізичне середовище, в якому вона знаходиться і функціонує, користувачі АС та оброблювана інформація, у тому числі й технологія її оброблення.

¨детальні вимоги щодо захисту інформації в АС класу 2

¨докладно розібрана політика реалізації послуг безпеки інформації в АС класу 2

NФактично, документ є детальною настановою з розроблення технічного завдання на створення КСЗІ в АС класу 2

Політика безпеки згідно НД ТЗІ 2.5-008-02

NЯк основний принцип політики безпеки визначено адміністративний принцип розмежування доступу, який забезпечується послугами безпеки КА і ЦА

nРеалізація послуг безпеки, що базуються на довірчому принципі розмежування доступу (КД і ЦД), може здійснюватися у випадках:

¨коли політикою безпеки передбачено створення груп користувачів з однаковими повноваженнями щодо роботи з конфіденційною інформацією для розмежування доступу до об’єктів, що таку інформацію містять, у межах цих груп

¨для розмежування доступу до об’єктів, які потребують захисту, але не містять конфіденційної інформації

nВизначені такі стандартні функціональні профілі захищеності оброблюваної інформації:

¨2.К.3 = {КД-2, КА-2, КО-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2}

¨2.КЦ.3 = {КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2}

¨2.КД.1а = {КД-2, КА-2, КО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2}

¨2.КЦД.2а = {КД-2, КА-2, КО-1, ЦД-1, ЦА-2, ЦО-1, ДР-1, ДС-1, ДЗ-1, ДВ-1, НР-2, НК-1, НЦ-2, НТ-2, НИ-2, НО-2}

NМінімальним достатнім рівнем гарантій реалізації КЗЗ АС класу 2 є рівень Г–2

NРеалізація послуги безпеки КО-1 є необов’язковою у тому випадку, коли в АС класу 2 усі користувачі допущені до обробки конфіденційної інформації одного рівня

НД ТЗІ 2.5-010-03

NПовна назва документа – Вимоги до захисту інформації WEB–сторінки від несанкціонованого доступу

NДокумент встановлює вимоги до технічних та організаційних заходів захисту інформації Web-сторінки (Web-сайту) в мережі Інтернет

¨Зокрема, мінімально необхідний перелік послуг безпеки інформації та рівнів їх реалізації у комплексах засобів захисту інформації Web-сторінки від несанкціонованого доступу згідно з визначеними НД ТЗІ 2.5-004-99 специфікаціями

NМета документа – надання нормативно-методологічної бази для розроблення комплексу засобів захисту від несанкціонованого доступу до інформації Web-сторінки під час створення КСЗІ

nВ документі наведені:

¨загальні вимоги до захисту інформації Web-сторінки, які випливають з вимог чинного законодавства



Поделиться:


Последнее изменение этой страницы: 2016-09-13; просмотров: 236; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.14.245.172 (0.006 с.)