Порядок модернізації засобів ТЗІ

Модернізація засобів ТЗІ в комп’ютерних системах здійснюється у відповідності з окремим ТЗ або доповненням до основного ТЗ на створення засобу ТЗІ. ТЗ (доповнення до основного ТЗ) розробляється та оформляється відповідно до чинних ДСТУ з урахуванням вимог НД ТЗІ 3.7-001-99.

Для забезпечення можливості досягнення необхідного рівня гарантій роботи з модернізації засобу ТЗІ проводяться в порядку, викладеному в розділі 6 цього Положення.

 

Завдання на СРС

1. Поглиблене відпрацювання наступних нормативних документів:

· НД ТЗІ 3.6-001-2000 Технічний захист інформаціїї. Комп’ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів ТЗІ від НСД;

· НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп’ютерних системах від НСД;

·   НД ТЗІ 2.5-008-2002 Вимоги із захисту конфіденційної інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2.

 

ДОДАТОК 1

 

НД ТЗІ 1.1-00 3 -9 9 Т ермінологія в галузі захисту інформації в комп ’ ютерних системах від несанкціонованого доступу;

Терміни і визначення

Основні поняття

4.1.1 Обчислювальна система; ОС (computer system) — сукупність програмних-апаратних засобів, призначених для обробки інформації.

4.1.2 Автоматизована система; АС (automated system) — організаційно-технічна система, що реалізує інформаційну технологію і об’єднує ОС, фізичне середовище, персонал і інформацію, яка обробляється.

4.1.3 Комп’ютерна система; КС (computer system, target of evaluation) —сукупність програмно-апаратніх засобів, яка подана для оцінки.

4.1.4 Політика безпеки інформації (information security policy) — сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують порядок обробки інформації.

4.1.5 Загроза (threat) — будь-які обставини або події, що можуть бути причиною порушення політики безпеки інформації і/або нанесення збитків АС.

4.1.6 Безпека інформації (information security) — стан інформації, в якому за-безпечується збереження визначених політикою безпеки властивостей інформації.

4.1.7 Захист інформації в АС (information protection, information security, computer system security) — діяльність, яка спрямована на забезпечення безпеки оброблюваної в АС інформації та АС в цілому, і дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенційних збитків внаслідок реалізації загроз.

4.1.8 Комплексна система захисту інформації; КСЗІ — сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС.

4.1.9 Комплекс засобів захисту; КЗЗ (trusted computing base; TCB) — сукупність програмно-апаратних засобів, які забезпечують реалізацію політики безпеки інформації.

4.1.10 Захищена комп’ютерна система; захищена КС (trusted computer system, trusted computer product) — комп’ютерна система, яка здатна забезпечувати захист оброблюваної інформації від певних загроз.

4.1.11 Об’єкт комп’ютерної системи; об’єкт КС (product object, system object) — елемент ресурсу КС, що знаходиться під керуванням КЗЗ і характеризується певними атрибутами і поводженням.

4.1.12 Пасивний об’єкт (passive object) — об’єкт КС, який в конкретному акті доступу виступає як пасивний компонент системи, над яким виконується дія і/або який служить джерелом чи приймальником інформації.

4.1.13 Об’єкт-процес (process object) — виконувана в даний момент програма, яка повністю характеризується своїм контекстом (поточним станом регістрів бчислювальної системи, адресним простором, повноваженнями і т.ін.).

4.1.14 Користувач (user) — фізична особа, яка може взаємодіяти з КС через наданий їй інтерфейс.

4.1.15 Об’єкт-користувач (user object) — подання фізичного користувача в КС, що створюється в процесі входження користувача в систему і повністю характеризується своїм контекстом (псевдонімом, ідентифікаційним кодом, повноваженнями і т. ін.).

4.1.16 Ідентифікатор об’єкта КС (object identifier) — унікальний атрибут об’єкта КС, що дозволяє однозначно виділити даний об’єкт серед подібних.

4.1.17 Потік інформації (information flow) — передавання інформації від одного до іншого об’єкта КС.

4.1.18 Доступ до інформації (access to information) — вид взаємодії двох об’єктів КС, внаслідок якого створюється потік інформації від одного об’єкта до іншого і/або відбувається зміна стану системи.     

4.1.19 Правила розмежування доступу; ПРД (access mediation rules) — частина політики безпеки, що регламентує правила доступу користувачів і процесів до пасивних об’єктів.

4.1.20 Тип доступу (access type) — суттєвість доступу до об’єкта, що характеризує зміст здійснюваної взаємодії, а саме: проведені дії, напрям потоків інформації, зміни в стані системи (наприклад, читання, запис, запуск на виконання, видаляння, дозапис).

4.1.21 Запит на доступ (access request) — звернення одного об’єкта КС до іншого з метою отримання певного типу доступу.    

4.1.22 Санкціонований доступ до інформації (authorized access to information) — доступ до інформації, що не порушує ПРД.

4.1.23 Несанкціонований доступ до інформації; НСД до інформації (unauthorized access to information) — доступ до інформації, здійснюваний з порушенням ПРД.

4.1.24 Захист від несанкціонованого доступу; захист від НСД (protection from unauthorized access) — запобігання або істотне утруднення несанкціонованого доступу до інформації.

4.1.25 Право доступу (access right) — дозвіл або заборона здійснення певного типу доступу.

4.1.26 Повноваження (privilege) — права користувача або процесу на виконання певних дій, зокрема на одержання певного типу доступу до об’єктів.

4.1.27 Керування доступом (access control) — сукупність заходів з визначення повноважень і прав доступу, контролю за додержанням ПРД.

4.1.28 Розмежування доступу (access mediation) — сукупність процедур, що реалізують перевірку запитів на доступ і оцінку на підставі ПРД можливості надання доступу.

4.1.29 Авторизація (authorization) — надання повноважень; встановлення відповідності між повідомленням (пасивним об’єктом) і його джерелом (створившим його користувачем або процесом).

4.1.30 Авторизований користувач (authorized user) — користувач, що володіє певними повноваженнями.

4.1.31 Роль користувача (user role) — сукупність функцій щодо керування КС, КЗЗ і обробки інформації, доступних користувачеві.

4.1.32 Адміністратор (administrator, administrative user) — користувач, роль якого включає функції керування КС і/або КЗЗ.

4.1.33 Адміністратор безпеки (security administrator) — адміністратор, відповідальний за дотримання політики безпеки.

4.1.34 Порушник (user violator) — користувач, який здійснює несанкціонований доступ до інформації.