Курс лекций Защита Информации/Концепция защиты от НСД: различия между версиями

Материал из Викиучебника — открытых книг для открытого мира
Содержимое удалено Содержимое добавлено
категория
Нет описания правки
Строка 1: Строка 1:
Проблема защиты от НСД к информации является частью общей проблемы защиты информации. Защищенность от НСД к информации характеризуется тем, что только надлежащим образом уполномоченные лица или инициируемые ими процессы могут иметь возможность осуществления разрешенных видов доступа к разрешенным объектам доступа.
Проблема [[Курс лекций Защита Информации/Основные понятия и определения#Защита от НСД к информации|защиты от НСД к информации]] является частью общей проблемы защиты информации. Защищенность от НСД к информации характеризуется тем, что только надлежащим образом уполномоченные лица или инициируемые ими процессы могут иметь возможность осуществления разрешенных видов доступа к разрешенным объектам доступа.


Защита от НСД к информации обеспечивается системой защиты от НСД к информации и поддерживающей ее политикой безопасности предприятия, осуществляющего эксплуатацию АСЗИ. Система защиты является неотъемлемой составной частью, создаваемой или модернизируемой АСЗИ.
Защита от НСД к информации обеспечивается системой защиты от НСД к информации и поддерживающей ее политикой безопасности предприятия, осуществляющего эксплуатацию АСЗИ. Система защиты является неотъемлемой составной частью, создаваемой или модернизируемой АСЗИ.


'''Защиты должна осуществляться в соответствии с основными принципами:'''
'''Защиты должна осуществляться в соответствии с основными принципами:'''

# Ответственность за обеспечение защиты возложена на руководителей предприятий, осуществляющих эксплуатацию АСЗИ;
# Ответственность за обеспечение защиты возложена на руководителей предприятий, осуществляющих эксплуатацию АСЗИ;
#
#

Версия от 18:16, 9 июня 2013

Проблема защиты от НСД к информации является частью общей проблемы защиты информации. Защищенность от НСД к информации характеризуется тем, что только надлежащим образом уполномоченные лица или инициируемые ими процессы могут иметь возможность осуществления разрешенных видов доступа к разрешенным объектам доступа.

Защита от НСД к информации обеспечивается системой защиты от НСД к информации и поддерживающей ее политикой безопасности предприятия, осуществляющего эксплуатацию АСЗИ. Система защиты является неотъемлемой составной частью, создаваемой или модернизируемой АСЗИ.

Защиты должна осуществляться в соответствии с основными принципами:


  1. Ответственность за обеспечение защиты возложена на руководителей предприятий, осуществляющих эксплуатацию АСЗИ;
  2. Защита должна обеспечиваться на всех этапах жизненного цикла АСЗИ на всех технологических этапах обработки информации во всех режимах функционирования технических, программных и программно-технических средств АСЗИ;
  3. Система защиты должна контролировать доступ к защищаемой информации, обрабатывающейся в АСЗИ;
  4. Система защиты должна обеспечивать шифрование информации, ограничивать доступ при её передаче по каналам связи, не защищенным от НСД к информации организационно-техническими мерами;
  5. АСЗИ, в которой обрабатывается информация, содержащая сведения, составляющие государственную тайну и служебную информацию ограниченного распространения, а также для которой установлены особые правила доступа к информационным ресурсам, не должны включаться в состав средств, имеющих доступ в Интернет;
  6. В системах защиты должны использоваться только средства защиты от НСД к информации, сертифицированные в установленном порядке в системе сертификации ФСБ РФ (или ФСТЭК РФ) или средства защиты, на которые получены положительные заключения экспертных организаций о соответствии указанных средств предъявляемым ним требованиям. Любые другие средства защиты, например штатные средства в составе общесистемного ПО или СУБД в систему защиты не включаются, но могут использоваться для создания дополнительных рубежей защиты;
  7. Система защиты должна регистрировать события, связанные с обеспечением защиты;
  8. Должна быть организована разрешительная система доступа к информационным ресурсам АСЗИ и которой разрешено только то, что описано в установленных правах доступа. Пользователям АСЗИ предоставляется право использовать только те ресурсы, которые необходимы им для выполнения установленных функциональных обязанностей;
  9. Доступ к защищаемой информации к АСЗИ должен быть персонифицирован. Каждый пользователь должен иметь и предъявлять при обращении к АСЗИ атрибуты безопасности, включающие уникальный идентификатор пользователя, пароль и/или аутентифицирующую информацию.
  10. Должен быть определён порядок смены атрибутов безопасности пользователей.
  11. Должен быть определен круг пользователей и должны быть назначены администраторы безопасности.
  12. Состав технических, программных и программно-технических средств АСЗИ должен быть минимально достаточным для выполнения АСЗИ своего назначения.
  13. Технические, программные и программно-технические средства АСЗИ должны удовлетворять требованиям, предъявляемыми им средствами и системой защиты.
  14. Эксплуатация АСЗИ возможна только после получения положительного заключения экспертной организации о соответствии системы защиты требуемому уровню защиты от НСД к информации.
  15. Изменение технических, программных и программно-технических средств АСЗИ в процессе эксплуатации системы не должны приводить к нарушениям в её штатной работе, включая штатную работу системы защиты или к образованию каналов утечки информации.
  16. Зашифрованная информация и носители зашифрованной информации, если ранее данные носители не содержали незашифрованную защищаемую информацию, являются несекретными. Порядок пересылки, хранения и учета таких носителей определяется политикой безопасности организации, которая эксплуатирует АСЗИ.
  17. Должна быть предусмотрена возможность контроля, правильного функционирования средств и систем защиты. Контроль может быть либо периодическим, либо инициироваться по мере необходимости контролирующими органами.
  18. В случае лишения пользователя прав доступа его пароли и аутентифицирующая информация должны ликвидироваться.

Поля для записи пользователя (при удалении остаётся логин, дата создания и дата удаления):

  • Логин
  • Дата создания
  • Дата удаления
  • Текущий пароль (его Hash)
  • Дата смены пароля