Курс лекций Защита Информации/Концепция защиты от НСД: различия между версиями
Содержимое удалено Содержимое добавлено
Lex1026 (обсуждение | вклад) Нет описания правки |
|||
Строка 5: | Строка 5: | ||
== Приниципы защиты от НСД к информации == |
== Приниципы защиты от НСД к информации == |
||
* Ответственность за обеспечение защиты возложена на руководителей предприятий, осуществляющих эксплуатацию АСЗИ. |
* Ответственность за обеспечение защиты возложена на руководителей предприятий, осуществляющих эксплуатацию [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]]. |
||
* Защита должна обеспечиваться на всех этапах жизненного цикла АСЗИ на всех технологических этапах обработки информации во всех режимах функционирования технических, программных и программно-технических средств АСЗИ. |
* Защита должна обеспечиваться на всех этапах жизненного цикла [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] на всех технологических этапах обработки информации во всех режимах функционирования технических, программных и программно-технических средств [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]]. |
||
* Система защиты должна контролировать доступ к защищаемой информации, обрабатывающейся в АСЗИ. |
* Система защиты должна контролировать доступ к защищаемой информации, обрабатывающейся в [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]]. |
||
* Система защиты должна обеспечивать шифрование информации, ограничивать доступ при её передаче по каналам связи, не защищенным от НСД к информации организационно-техническими мерами. |
* Система защиты должна обеспечивать шифрование информации, ограничивать доступ при её передаче по каналам связи, не защищенным от НСД к информации организационно-техническими мерами. |
||
* АСЗИ, в которой обрабатывается информация, содержащая сведения, составляющие государственную тайну и служебную информацию ограниченного распространения, а также для которой установлены особые правила доступа к информационным ресурсам, не должны включаться в состав средств, имеющих доступ в Интернет. |
* [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]], в которой обрабатывается информация, содержащая сведения, составляющие государственную тайну и служебную информацию ограниченного распространения, а также для которой установлены особые правила доступа к информационным ресурсам, не должны включаться в состав средств, имеющих доступ в Интернет. |
||
* В системах защиты должны использоваться только средства защиты от НСД к информации, сертифицированные в установленном порядке в системе сертификации ФСБ РФ (или ФСТЭК РФ) или средства защиты, на которые получены положительные заключения экспертных организаций о соответствии указанных средств предъявляемым ним требованиям. Любые другие средства защиты, например штатные средства в составе общесистемного ПО или СУБД в систему защиты не включаются, но могут использоваться для создания дополнительных рубежей защиты. |
* В системах защиты должны использоваться только средства защиты от НСД к информации, сертифицированные в установленном порядке в системе сертификации ФСБ РФ (или ФСТЭК РФ) или средства защиты, на которые получены положительные заключения экспертных организаций о соответствии указанных средств предъявляемым ним требованиям. Любые другие средства защиты, например штатные средства в составе общесистемного ПО или СУБД в систему защиты не включаются, но могут использоваться для создания дополнительных рубежей защиты. |
||
* Система защиты должна регистрировать события, связанные с обеспечением защиты. |
* Система защиты должна регистрировать события, связанные с обеспечением защиты. |
||
Строка 16: | Строка 16: | ||
* Должен быть определён порядок смены атрибутов безопасности пользователей. |
* Должен быть определён порядок смены атрибутов безопасности пользователей. |
||
* Должен быть определен круг пользователей и должны быть назначены [[../Основные понятия и определения#Администратор безопасности|администраторы безопасности]] . |
* Должен быть определен круг пользователей и должны быть назначены [[../Основные понятия и определения#Администратор безопасности|администраторы безопасности]] . |
||
* Состав технических, программных и программно-технических средств АСЗИ должен быть минимально достаточным для выполнения АСЗИ своего назначения. |
* Состав технических, программных и программно-технических средств [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] должен быть минимально достаточным для выполнения [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] своего назначения. |
||
* Технические, программные и программно-технические средства АСЗИ должны удовлетворять требованиям, предъявляемыми им средствами и системой защиты. |
* Технические, программные и программно-технические средства [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] должны удовлетворять требованиям, предъявляемыми им средствами и системой защиты. |
||
* Эксплуатация АСЗИ возможна только после получения положительного заключения экспертной организации о соответствии системы защиты требуемому уровню защиты от НСД к информации. |
* Эксплуатация [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] возможна только после получения положительного заключения экспертной организации о соответствии системы защиты требуемому уровню защиты от НСД к информации. |
||
* Изменение технических, программных и программно-технических средств АСЗИ в процессе эксплуатации системы не должны приводить к нарушениям в её штатной работе, включая штатную работу системы защиты или к образованию каналов [[../Основные понятия и определения#Утечка информации|утечки информации]] . |
* Изменение технических, программных и программно-технических средств [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]] в процессе эксплуатации системы не должны приводить к нарушениям в её штатной работе, включая штатную работу системы защиты или к образованию каналов [[../Основные понятия и определения#Утечка информации|утечки информации]] . |
||
* Зашифрованная информация и носители зашифрованной информации, если ранее данные носители не содержали незашифрованную защищаемую информацию, являются несекретными. Порядок пересылки, хранения и учета таких носителей определяется политикой безопасности организации, которая эксплуатирует АСЗИ. |
* Зашифрованная информация и носители зашифрованной информации, если ранее данные носители не содержали незашифрованную защищаемую информацию, являются несекретными. Порядок пересылки, хранения и учета таких носителей определяется политикой безопасности организации, которая эксплуатирует [[../Основные понятия и определения#Автоматизированная система в защищенном исполнении (АСЗИ)| АСЗИ]]. |
||
* Должна быть предусмотрена возможность контроля, правильного функционирования средств и систем защиты. Контроль может быть либо периодическим, либо инициироваться по мере необходимости контролирующими органами. |
* Должна быть предусмотрена возможность контроля, правильного функционирования средств и систем защиты. Контроль может быть либо периодическим, либо инициироваться по мере необходимости контролирующими органами. |
||
* В случае лишения пользователя прав доступа его пароли и аутентифицирующая информация должны ликвидироваться. |
* В случае лишения пользователя прав доступа его пароли и аутентифицирующая информация должны ликвидироваться. |
Версия от 18:19, 13 июня 2013
Проблема защиты от НСД к информации является частью общей проблемы защиты информации. Защищенность от НСД к информации характеризуется тем, что только надлежащим образом уполномоченные лица или инициируемые ими процессы могут иметь возможность осуществления разрешенных видов доступа к разрешенным объектам доступа.
Защита от НСД к информации обеспечивается системой защиты от НСД к информации и поддерживающей ее политикой безопасности предприятия, осуществляющего эксплуатацию АСЗИ. Система защиты является неотъемлемой составной частью, создаваемой или модернизируемой АСЗИ.
Приниципы защиты от НСД к информации
- Ответственность за обеспечение защиты возложена на руководителей предприятий, осуществляющих эксплуатацию АСЗИ.
- Защита должна обеспечиваться на всех этапах жизненного цикла АСЗИ на всех технологических этапах обработки информации во всех режимах функционирования технических, программных и программно-технических средств АСЗИ.
- Система защиты должна контролировать доступ к защищаемой информации, обрабатывающейся в АСЗИ.
- Система защиты должна обеспечивать шифрование информации, ограничивать доступ при её передаче по каналам связи, не защищенным от НСД к информации организационно-техническими мерами.
- АСЗИ, в которой обрабатывается информация, содержащая сведения, составляющие государственную тайну и служебную информацию ограниченного распространения, а также для которой установлены особые правила доступа к информационным ресурсам, не должны включаться в состав средств, имеющих доступ в Интернет.
- В системах защиты должны использоваться только средства защиты от НСД к информации, сертифицированные в установленном порядке в системе сертификации ФСБ РФ (или ФСТЭК РФ) или средства защиты, на которые получены положительные заключения экспертных организаций о соответствии указанных средств предъявляемым ним требованиям. Любые другие средства защиты, например штатные средства в составе общесистемного ПО или СУБД в систему защиты не включаются, но могут использоваться для создания дополнительных рубежей защиты.
- Система защиты должна регистрировать события, связанные с обеспечением защиты.
- Должна быть организована разрешительная система доступа к информационным ресурсам АСЗИ и которой разрешено только то, что описано в установленных правах доступа. Пользователям АСЗИ предоставляется право использовать только те ресурсы, которые необходимы им для выполнения установленных функциональных обязанностей.
- Доступ к защищаемой информации к АСЗИ должен быть персонифицирован. Каждый пользователь должен иметь и предъявлять при обращении к АСЗИ атрибуты безопасности, включающие уникальный идентификатор пользователя, пароль и/или аутентифицирующую информацию.
- Должен быть определён порядок смены атрибутов безопасности пользователей.
- Должен быть определен круг пользователей и должны быть назначены администраторы безопасности .
- Состав технических, программных и программно-технических средств АСЗИ должен быть минимально достаточным для выполнения АСЗИ своего назначения.
- Технические, программные и программно-технические средства АСЗИ должны удовлетворять требованиям, предъявляемыми им средствами и системой защиты.
- Эксплуатация АСЗИ возможна только после получения положительного заключения экспертной организации о соответствии системы защиты требуемому уровню защиты от НСД к информации.
- Изменение технических, программных и программно-технических средств АСЗИ в процессе эксплуатации системы не должны приводить к нарушениям в её штатной работе, включая штатную работу системы защиты или к образованию каналов утечки информации .
- Зашифрованная информация и носители зашифрованной информации, если ранее данные носители не содержали незашифрованную защищаемую информацию, являются несекретными. Порядок пересылки, хранения и учета таких носителей определяется политикой безопасности организации, которая эксплуатирует АСЗИ.
- Должна быть предусмотрена возможность контроля, правильного функционирования средств и систем защиты. Контроль может быть либо периодическим, либо инициироваться по мере необходимости контролирующими органами.
- В случае лишения пользователя прав доступа его пароли и аутентифицирующая информация должны ликвидироваться.
Пользовательская информация
Выделяют следующие поля для записи пользовательской информации.
- Логин.
- Дата создания.
- Дата удаления.
- Контрольная сумма текущего пароля.
- Дата смены пароля.
При удалении пользователя из системы необходимо хранить его логин, дату создания и дату удаления.