ВУЗ:
Составители:
149
показателей эффективности получаются путем моделирования или вычисляются по
характеристикам реальной КС. Такой подход используется при разработке и модернизации КСЗИ.
Однако возможности классических методов комплексного оценивания эффективности
применительно к КСЗИ ограничены в силу ряда причин. Высокая степень неопределенности
исходных данных, сложность формализации процессов функционирования, отсутствие
общепризнанных методик расчета показателей эффективности и выбора критериев оптимальности
создают значительные трудности для применения классических методов оценки эффективности.
Официальный подход
Большую практическую значимость имеет подход к определению эффективности КСЗИ,
который условно можно назвать официальным. Политика безопасности информационных
технологий проводится государством и должна опираться на нормативные акты. В этих
документах необходимо определить требования к защищенности информации различных
категорий конфиденциальности и важности.
Требования могут задаваться перечнем механизмов защиты информации, которые
необходимо иметь в КС, чтобы она соответствовала определенному классу защиты. Используя
такие документы, можно оценить эффективность КСЗИ. В этом случае критерием эффективности
КСЗИ является ее класс защищенности. Несомненным достоинством таких классификаторов
(стандартов) является простота использования. Основным недостатком официального подхода к
определению эффективности систем защиты является то, что не определяется эффективность
конкретного механизма защиты, а констатируется лишь факт его наличия или отсутствия. Этот
недостаток в какой-то мере компенсируется заданием в некоторых документах достаточно
подробных требований к этим механизмам защиты.
Во всех развитых странах разработаны свои стандарты защищенности компьютерных
систем критического применения. Так, в министерстве обороны США используется стандарт
TCSEC (Department of Defence Trusted Computer System Evaluation Criteria), который известен как
Оранжевая книга. Согласно этой книге для оценки информационных систем рассматривается
четыре группы безопасности: A, B, C, D. В некоторых случаях группы безопасности делятся
дополнительно на классы безопасности.
Группа А (гарантированная или проверяемая защита) обеспечивает гарантированный
уровень безопасности. Методы защиты, реализованные в системе, могут быть проверены
формальными методами. В этой группе только один класс – А1.
Группа В (полномочная или полная защита) представляет полную защиту КС. В этой
группе выделены классы безопасности В1, В2, В3.
Класс В1 (защита через грифы или метки) обеспечивается использованием в КС грифов
секретности, определяющих доступ пользователей к частям системы.
Класс В2 (структурированная защита) достигается разделением информации на
защищенные и незащищенные блоки и контролем доступа к ним пользователей.
Класс В3 (области или домены безопасности) предусматривает разделение КС на
подсистемы с различным уровнем безопасности и контролем доступа к ним пользователей.
Группа С (избирательная защита) представляет избирательную защиту подсистем с
контролем доступа к ним пользователей. В этой группе выделены классы безопасности С1 и С2.
Класс С1 (избирательная защита информации) предусматривает разделение в КС
пользователей и данных. Этот класс обеспечивает самый низкий уровень защиты КС.
Класс С2 (защита через управляемый или контролируемый доступ) обеспечивается
раздельным доступом пользователей к данным.
Группу D (минимальной безопасности) составляют КС, проверенные на безопасность, но
которые не могут быть отнесены к классам А, В или С.
Организация защиты информации в вычислительных сетях министерства обороны США
осуществляется в соответствии с требованиями руководства "The Trusted Network Interpretation of
Department of Defense Trusted Computer System Evaluation Guidelines". Этот документ получил
название Красная книга.
Подобные стандарты защищенности КС приняты и в других развитых странах. Так, в 1991
году Франция, Германия, Нидерланды и Великобритания приняли согласованные "Европейские
критерии", в которых рассмотрено 7 классов безопасности от Е0 до Е6.
В России аналогичный стандарт разработан в 1992 году Государственной технической
комиссией (ГТК) при Президенте РФ. Этим стандартом является руководящий документ ГТК
"Концепция защиты средств вычислительной техники и автоматизированных систем от НСД к
показателей эффективности получаются путем моделирования или вычисляются по
характеристикам реальной КС. Такой подход используется при разработке и модернизации КСЗИ.
Однако возможности классических методов комплексного оценивания эффективности
применительно к КСЗИ ограничены в силу ряда причин. Высокая степень неопределенности
исходных данных, сложность формализации процессов функционирования, отсутствие
общепризнанных методик расчета показателей эффективности и выбора критериев оптимальности
создают значительные трудности для применения классических методов оценки эффективности.
Официальный подход
Большую практическую значимость имеет подход к определению эффективности КСЗИ,
который условно можно назвать официальным. Политика безопасности информационных
технологий проводится государством и должна опираться на нормативные акты. В этих
документах необходимо определить требования к защищенности информации различных
категорий конфиденциальности и важности.
Требования могут задаваться перечнем механизмов защиты информации, которые
необходимо иметь в КС, чтобы она соответствовала определенному классу защиты. Используя
такие документы, можно оценить эффективность КСЗИ. В этом случае критерием эффективности
КСЗИ является ее класс защищенности. Несомненным достоинством таких классификаторов
(стандартов) является простота использования. Основным недостатком официального подхода к
определению эффективности систем защиты является то, что не определяется эффективность
конкретного механизма защиты, а констатируется лишь факт его наличия или отсутствия. Этот
недостаток в какой-то мере компенсируется заданием в некоторых документах достаточно
подробных требований к этим механизмам защиты.
Во всех развитых странах разработаны свои стандарты защищенности компьютерных
систем критического применения. Так, в министерстве обороны США используется стандарт
TCSEC (Department of Defence Trusted Computer System Evaluation Criteria), который известен как
Оранжевая книга. Согласно этой книге для оценки информационных систем рассматривается
четыре группы безопасности: A, B, C, D. В некоторых случаях группы безопасности делятся
дополнительно на классы безопасности.
Группа А (гарантированная или проверяемая защита) обеспечивает гарантированный
уровень безопасности. Методы защиты, реализованные в системе, могут быть проверены
формальными методами. В этой группе только один класс – А1.
Группа В (полномочная или полная защита) представляет полную защиту КС. В этой
группе выделены классы безопасности В1, В2, В3.
Класс В1 (защита через грифы или метки) обеспечивается использованием в КС грифов
секретности, определяющих доступ пользователей к частям системы.
Класс В2 (структурированная защита) достигается разделением информации на
защищенные и незащищенные блоки и контролем доступа к ним пользователей.
Класс В3 (области или домены безопасности) предусматривает разделение КС на
подсистемы с различным уровнем безопасности и контролем доступа к ним пользователей.
Группа С (избирательная защита) представляет избирательную защиту подсистем с
контролем доступа к ним пользователей. В этой группе выделены классы безопасности С1 и С2.
Класс С1 (избирательная защита информации) предусматривает разделение в КС
пользователей и данных. Этот класс обеспечивает самый низкий уровень защиты КС.
Класс С2 (защита через управляемый или контролируемый доступ) обеспечивается
раздельным доступом пользователей к данным.
Группу D (минимальной безопасности) составляют КС, проверенные на безопасность, но
которые не могут быть отнесены к классам А, В или С.
Организация защиты информации в вычислительных сетях министерства обороны США
осуществляется в соответствии с требованиями руководства "The Trusted Network Interpretation of
Department of Defense Trusted Computer System Evaluation Guidelines". Этот документ получил
название Красная книга.
Подобные стандарты защищенности КС приняты и в других развитых странах. Так, в 1991
году Франция, Германия, Нидерланды и Великобритания приняли согласованные "Европейские
критерии", в которых рассмотрено 7 классов безопасности от Е0 до Е6.
В России аналогичный стандарт разработан в 1992 году Государственной технической
комиссией (ГТК) при Президенте РФ. Этим стандартом является руководящий документ ГТК
"Концепция защиты средств вычислительной техники и автоматизированных систем от НСД к
149
Страницы
- « первая
- ‹ предыдущая
- …
- 146
- 147
- 148
- 149
- 150
- …
- следующая ›
- последняя »
