Курс лекций Защита Информации/Концепция защиты от НСД: различия между версиями

Содержимое удалено Содержимое добавлено

Линейный

Версия от 18:22, 13 июня 2013

Проблема защиты от НСД к информации является частью общей проблемы защиты информации. Защищенность от НСД к информации характеризуется тем, что только надлежащим образом уполномоченные лица или инициируемые ими процессы могут иметь возможность осуществления разрешенных видов доступа к разрешенным объектам доступа.

Защита от защиты от НСД к информации обеспечивается системой защиты от НСД к информации и поддерживающей ее политикой безопасности предприятия, осуществляющего эксплуатацию АСЗИ. Система защиты является неотъемлемой составной частью, создаваемой или модернизируемой АСЗИ.

Приниципы защиты от НСД к информации

Ответственность за обеспечение защиты возложена на руководителей предприятий, осуществляющих эксплуатацию АСЗИ.
Защита должна обеспечиваться на всех этапах жизненного цикла АСЗИ на всех технологических этапах обработки информации во всех режимах функционирования технических, программных и программно-технических средств АСЗИ.
Система защиты должна контролировать доступ к защищаемой информации, обрабатывающейся в АСЗИ.
Система защиты должна обеспечивать шифрование информации, ограничивать доступ при её передаче по каналам связи, не защищенным от защиты от НСД к информации организационно-техническими мерами.
АСЗИ, в которой обрабатывается информация, содержащая сведения, составляющие государственную тайну и служебную информацию ограниченного распространения, а также для которой установлены особые правила доступа к информационным ресурсам, не должны включаться в состав средств, имеющих доступ в Интернет.
В системах защиты должны использоваться только средства защиты от защиты от НСД к информации, сертифицированные в установленном порядке в системе сертификации ФСБ РФ (или ФСТЭК РФ) или средства защиты, на которые получены положительные заключения экспертных организаций о соответствии указанных средств предъявляемым ним требованиям. Любые другие средства защиты, например штатные средства в составе общесистемного ПО или СУБД в систему защиты не включаются, но могут использоваться для создания дополнительных рубежей защиты.
Система защиты должна регистрировать события, связанные с обеспечением защиты.
Должна быть организована разрешительная система доступа к информационным ресурсам АСЗИ и которой разрешено только то, что описано в установленных правах доступа. Пользователям АСЗИ предоставляется право использовать только те ресурсы, которые необходимы им для выполнения установленных функциональных обязанностей.
Доступ к защищаемой информации к АСЗИ должен быть персонифицирован. Каждый пользователь должен иметь и предъявлять при обращении к АСЗИ атрибуты безопасности, включающие уникальный идентификатор пользователя, пароль и/или аутентифицирующую информацию.
Должен быть определён порядок смены атрибутов безопасности пользователей.
Должен быть определен круг пользователей и должны быть назначены администраторы безопасности .
Состав технических, программных и программно-технических средств АСЗИ должен быть минимально достаточным для выполнения АСЗИ своего назначения.
Технические, программные и программно-технические средства АСЗИ должны удовлетворять требованиям, предъявляемыми им средствами и системой защиты.
Эксплуатация АСЗИ возможна только после получения положительного заключения экспертной организации о соответствии системы защиты требуемому уровню защиты от защиты от НСД к информации.
Изменение технических, программных и программно-технических средств АСЗИ в процессе эксплуатации системы не должны приводить к нарушениям в её штатной работе, включая штатную работу системы защиты или к образованию каналов утечки информации .
Зашифрованная информация и носители зашифрованной информации, если ранее данные носители не содержали незашифрованную защищаемую информацию, являются несекретными. Порядок пересылки, хранения и учета таких носителей определяется политикой безопасности организации, которая эксплуатирует АСЗИ.
Должна быть предусмотрена возможность контроля, правильного функционирования средств и систем защиты. Контроль может быть либо периодическим, либо инициироваться по мере необходимости контролирующими органами.
В случае лишения пользователя прав доступа его пароли и аутентифицирующая информация должны ликвидироваться.

Пользовательская информация

Выделяют следующие поля для записи пользовательской информации.

Логин.
Дата создания.
Дата удаления.
Контрольная сумма текущего пароля.
Дата смены пароля.

При удалении пользователя из системы необходимо хранить его логин, дату создания и дату удаления.

@@ Строка 1: / Строка 1: @@
 Проблема [[../Основные понятия и определения#Защита от НСД к информации|защиты от НСД к информации]] является частью общей проблемы защиты информации. Защищенность от [[../Основные понятия и определения#Несанкционированный доступ к информации АСЗИ (НСД к информации)|  НСД к информации]] характеризуется тем, что только надлежащим образом уполномоченные лица или инициируемые ими процессы могут иметь возможность осуществления разрешенных видов доступа к разрешенным объектам доступа.
-Защита от НСД к информации обеспечивается системой защиты от НСД к информации и поддерживающей ее политикой безопасности предприятия, осуществляющего эксплуатацию [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)|  АСЗИ]]. Система защиты является неотъемлемой составной частью, создаваемой или модернизируемой АСЗИ.
+Защита от [[../Основные понятия и определения#Защита от НСД к информации|защиты от НСД к информации]] обеспечивается системой защиты от НСД к информации и поддерживающей ее политикой безопасности предприятия, осуществляющего эксплуатацию [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]]. Система защиты является неотъемлемой составной частью, создаваемой или модернизируемой [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]].
 == Приниципы защиты от НСД к информации ==