Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Севастопольский Государственный Университет

Кафедра ИС

РЕФЕРАТ

на тему:

«Руководящие документы Гостехкомиссии РФ»

Выполнил:

Ст. гр. Ис/б-42-о

Будзак В.В.

Проверил:

Гончаренко Д.Г.

Севастополь

2016

СОДЕРЖАНИЕ

1. Автоматизированные системы защиты от несанкционированного доступа

2. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации

3. Средства вычислительной техники. Межсетевые экраны

4. Средства вычислительной техники защита от несанкционированного доступа к информации

5. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации

6. Защита информации. Специальные защитные знаки

7. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах

8. Защита от несанкционированного доступа к информации

9. Защита от несанкционированного доступа к информации. термины и определения

Список использованной литературы



1. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации

Защита информации от НСД является составной частью общей проблемы обеспечения безопасности информации. Мероприятия по защите информации от НСД должны осуществляться взаимосвязано с мероприятиями по специальной защите основных и вспомогательных средств вычислительной техники, средств и систем связи от технических средств разведки и промышленного шпионажа.

В общем случае, комплекс программно-технических средств и организационных (процедурных) решений по защите информации от НСД реализуется в рамках системы защиты информации от НСД (СЗИ НСД), условно состоящей из следующих четырех подсистем:

а) управления доступом;

б) регистрации и учета;

в) криптографической;

г) обеспечения целостности.

Необходимыми исходными данными для проведения классификации конкретной АС являются:

· перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;

· перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;

· матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;

· режим обработки данных в АС.



2. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации

Концепция предусматривает существование двух относительно самостоятельных и, следовательно, имеющих отличие направлений в проблеме защиты информации от НСД: направление, связанное с СВТ, и направление, связанное с АС.

Отличие двух направлений порождено тем, что СВТ разрабатываются и поставляются на рынок лишь как элементы, из которых в дальнейшем строятся функционально ориентированные АС, и поэтому, не решая прикладных задач, СВТ не содержат пользовательской информации.

Помимо пользовательской информации при создании АС появляются такие отсутствующие при разработке СВТ характеристики АС, как полномочия пользователей, модель нарушителя, технология обработки информации.

В связи с этим, если понятия защищенность (защита) информации от НСД в АС и защищенность (защита) АС от НСД к информации эквивалентны, то в случае СВТ можно говорить лишь о защищенности (защите) СВТ от НСД к информации, для обработки, хранения и передачи которой оно предназначено.

При этом защищенность СВТ есть потенциальная защищенность, т.е. свойство предотвращать или существенно затруднять НСД к информации в дальнейшем при использовании СВТ в АС.

При анализе общей проблемы безопасности информации выделяются те направления, в которых преднамеренная или непреднамеренная деятельность человека, а также неисправности технических средств, ошибки программного обеспечения или стихийные бедствия могут привести к утечке, модификации или уничтожению информации.

Известны такие направления исследования проблемы безопасности информации, как радиотехническое, побочные электромагнитные излучения и наводки, акустическое, НСД и др.

НСД определяется как доступ к информации, нарушающий установленные правила разграничения доступа, с использованием штатных средств, предоставляемых СВТ или АС.

Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения СВТ или АС.

В качестве нарушителя рассматривается субъект, имеющий доступ к работе со штатными средствами АС и СВТ как части АС.

Нарушители классифицируются по уровню возможностей, предоставляемых им штатными средствами АС и СВТ. Выделяется четыре уровня этих возможностей.

Классификация является иерархической, т.е. каждый следующий уровень включает в себя функциональные возможности предыдущего.

Первый уровень определяет самый низкий уровень возможностей ведения диалога в АС - запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.

Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.

Третий уровень определяется возможностью управления функционированием АС, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию ее оборудования.

Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств АС, вплоть до включения в состав СВТ собственных технических средств с новыми функциями по обработке информации.

В своем уровне нарушитель является специалистом высшей квалификации, знает все об АС и, в частности, о системе и средствах ее защиты.

К основным способам НСД относятся:

· непосредственное обращение к объектам доступа;

· создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;

· модификация средств защиты, позволяющая осуществить НСД;

· внедрение в технические средства СВТ или АС программных или технических механизмов, нарушающих предполагаемую структуру и функции СВТ или АС и позволяющих осуществить НСД.

3. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации

Перечень показателей по классам защищенности МЭ приведен в таблице 1.

Обозначения:

« - » - нет требований к данному классу;

« + » - новые или дополнительные требования,

« = » - требования совпадают с требованиями к МЭ предыдущего класса.

Таблица 1 - Перечень показателей по классам защищенности.

Показатели защищенности	Классы защищенности
	5	4	3	2	1
Управление доступом (фильтрация данных и трансляция адресов)	+	+	+	+	=
Идентификация и аутентификация	-	-	+	=	+
Регистрация	-	+	+	+	=
Администрирование: идентификация и аутентификация	+	=	+	+	+
Администрирование: регистрация	+	+	+	=	=
Администрирование: простота использования	-	-	+	=	+
Целостность	+	=	+	+	+
Восстановление	+	=	=	+	=
Тестирование	+	+	+	+	+
Руководство администратора защиты	+	=	=	=	=
Тестовая документация	+	+	+	+	+
Конструкторская (проектная) документация	+	=	+	=	+

Сетевые адреса - адресные данные, идентифицирующие субъекты и объекты и используемые протоколом сетевого уровня модели международной организации по стандартизации взаимодействия открытых систем (ISO OSI). Сетевой протокол выполняет управление коммуникационными ресурсами, маршрутизацию пакетов, их компоновку для передачи в сети. В этих протоколах решается возможность доступа к подсети, определяется маршрут передачи и осуществляется трансляция сообщения. Управление доступом на сетевом уровне позволяет отклонять нежелательные вызовы и дает возможность различным подсетям управлять использованием ресурсов сетевого уровня. Поэтому, в данных протоколах возможно выполнение требований по защите в части проверки подлинности сетевых ресурсов, источника и приемника данных, принимаемых сообщений, проведения контроля доступа к ресурсам сети.

Трансляция адреса - функция МЭ, скрывающая внутренние адреса объектов (субъектов) от внешних субъектов.

Транспортные адреса - адресные данные, идентифицирующие субъекты и объекты и используемые протоколом транспортного уровня модели ISO OSI. Протоколы транспортного уровня обеспечивают создание и функционирование логических каналов между программами (процессами, пользователями ) в различных узлах сети, управляют потоками информации между портами, осуществляют компоновку пакетов о запросах и ответах.

Экранирование - функция МЭ, позволяющая поддерживать безопасность объектов внутренней области, игнорируя несанкционированные запросы из внешней области. В результате экранирования уменьшается уязвимость внутренних объектов, поскольку первоначально сторонний нарушитель должен преодолеть экран, где защитные механизмы сконфигурированы особенно тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может и должна быть устроена более простым и, следовательно, более безопасным образом, на ней должны присутствовать только те компоненты, которые необходимы для выполнения функций экранирования. Экранирование дает также возможность контролировать информационные потоки, направленные во внешнюю область, что способствует поддержанию во внутренней области режима конфиденциальности. Помимо функций разграничения доступа, экраны осуществляют регистрацию информационных обменов.

4. Средства вычислительной техники защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации

автоматизированный защита несанкционированный доступ

Оценка класса защищенности СВТ проводится в соответствии с Положением о сертификации средств и систем вычислительной техники и связи по требованиям защиты информации, Временным положением по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники и другими документами.

Перечень показателей по классам защищенности СВТ приведен в таблице 2.

Обозначения:

« - » - нет требований к данному классу;

« + » - новые или дополнительные требования;

« = » - требования совпадают с требованиями к СВТ предыдущего класса.



Таблица 2 - Перечень показателей по классам защищенности.

Наименование показателя	Класс защищенности
	6	5	4	3	2	1
Дискреционный принцип контроля доступа	+	+	+	=	+	=
Мандатный принцип контроля доступа	-	-	+	=	=	=
Очистка памяти	-	+	+	+	=	=
Изоляция модулей	-	-	+	=	+	=
Маркировка документов	-	-	+	=	=	=
Защита ввода и вывода на отчуждаемый физический носитель информации	-	-	+	=	=	=
Сопоставление пользователя с устройством	-	-	+	=	=	=
Идентификация и аутентификация	+	=	+	=	=	=
Гарантии проектирования	-	+	+	+	+	+
Регистрация	-	+	+	+	=	=
Взаимодействие пользователя с КСЗ	-	-	-	+	=	=
Надежное восстановление	-	-	-	+	=	=
Целостность КСЗ	-	+	+	+	=	=
Контроль модификации	-	-	-	-	+	=
Контроль дистрибуции	-	-	-	-	+	=
Гарантии архитектуры	-	-	-	-	-	+
Тестирование	+	+	+	+	+	+
Руководство для пользователя	+	=	=	=	=	=
Руководство по КСЗ	+	+	=	+	+	=
Тестовая документация	+	+	+	+	+	=
Конструкторская (проектная) документация	+	+	+	+	+	+

Дискреционный принцип контроля доступа.

КСЗ должен контролировать доступ наименованных субъектов (пользователей) к наименованным объектам (файлам, программам, томам и т.д.).

Для каждой пары (субъект - объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (читать, писать и т.д.), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

КСЗ должен содержать механизм, претворяющий в жизнь дискреционные правила разграничения доступа.

Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

Механизм, реализующий дискреционный принцип контроля доступа, должен предусматривать возможности санкционированного изменения ПРД, в том числе возможность санкционированного изменения списка пользователей СВТ и списка защищаемых объектов.

Права изменять ПРД должны предоставляться выделенным субъектам (администрации, службе безопасности и т.д.).

Идентификация и аутентификация.

КСЗ должен требовать от пользователей идентифицировать себя при запросах на доступ. КСЗ должен подвергать проверке подлинность идентификации - осуществлять аутентификацию. КСЗ должен располагать необходимыми данными для идентификации и аутентификации. КСЗ должен препятствовать доступу к защищаемым ресурсам неидентифицированных пользователей и пользователей, подлинность идентификации которых при аутентификации не подтвердилась.

Тестирование.

В СВТ шестого класса должны тестироваться:

· реализация дискреционных ПРД (перехват явных и скрытых запросов, правильное распознавание санкционированных и несанкционированных запросов на доступ, средства защиты механизма разграничения доступа, санкционированные изменения ПРД);

· успешное осуществление идентификации и аутентификации, а также их средств защиты.

Руководство для пользователя.

Документация на СВТ должна включать в себя краткое руководство для пользователя с описанием способов использования КСЗ и его интерфейса с пользователем.

Руководство по КСЗ.

Данный документ адресован администратору защиты и должен содержать:

· описание контролируемых функций;

· руководство по генерации КСЗ;

· описание старта СВТ и процедур проверки правильности старта.

Тестовая документация.

Должно быть предоставлено описание тестов и испытаний, которым подвергалось СВТ (в соответствии с п. 2.2.3.) и результатов тестирования.

Конструкторская (проектная) документация.

Должна содержать общее описание принципов работы СВТ, общую схему КСЗ, описание интерфейсов КСЗ с пользователем и интерфейсов частей КСЗ между собой, описание механизмов идентификации и аутентификации.

5. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники

Заказчиком защищенных СВТ является заказчик соответствующей АС, проектируемой на базе этих СВТ.

Заказчик защищенных СВТ финансирует их разработку или принимает долевое участие в финансировании разработок СВТ общего назначения в части реализации своих требований.

Заказчиком программных и технических средств защиты информации от НСД может являться государственное учреждение или коллективное предприятие независимо от формы собственности.

Постановку задач по комплексной защите информации, обрабатываемой автоматизированными системами, а также контроль за состоянием и развитием этого направления работ осуществляет Гостехкомиссия России.

Разработчиками защищенных СВТ общего и специального назначения, в том числе их общесистемного программного обеспечения, являются государственные предприятия - производители СВТ, а также другие организации, имеющие лицензию на проведение деятельности в области защиты информации.

Разработчиками программных и технических средств и систем защиты информации от НСД могут быть предприятия, имеющие лицензию на проведение указанной деятельности.

Проведение научно-исследовательских и опытно-конструкторских работ в области защиты секретной информации от НСД, создание защищенных СВТ общего назначения осуществляется по государственному заказу по представлению заинтересованных ведомств, согласованному с Гостехкомиссией России.

Организация и функционирование государственных и отраслевых сертификационных центров определяются Положением об этих центрах. На них возлагается проведение сертификационных испытаний программных и технических средств защиты информации от НСД. Перечень сертификационных центров утверждает Гостехкомиссия России.

Система государственных нормативных актов, стандартов, руководящих документов и требований по защите информации от НСД базируется на законах, определяющих вопросы защиты государственных секретов и информационного компьютерного права.

Система указанных документов определяет работу в двух направлениях:

- разработка СВТ общего и специального назначения, защищенных от утечки, искажения или уничтожения информации, программных и технических (в том числе криптографических) средств и систем защиты информации от НСД;

- разработка, внедрение и эксплуатация систем защиты АС различного уровня и назначения как на базе защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД, прошедших сертификационные испытания, так и на базе средств и систем собственной разработки.

К системе документации первого направления относятся документы (в том числе, ГОСТы, РД и требования), определяющие:

· различные уровни оснащенности СВТ средствами защиты информации от НСД и способы оценки этих уровней (критерии защищенности);

· порядок разработки защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях заказа и разработки защищенных СВТ;

· порядок приемки и сертификации защищенных СВТ; взаимодействие, права и обязанности заказчиков и разработчиков на стадиях приемки и сертификации защищенных СВТ;

· разработку эксплуатационных документов и сертификатов.

К системе документации второго направления относятся документы (в том числе, ГОСТы, РД и требования), определяющие:

· порядок организации и проведения разработки системы защиты секретной информации, взаимодействие, права и обязанности заказчика и разработчика АС в целом и СЗСИ в частности;

· порядок разработки и заимствования программных и технических средств и систем защиты информации от НСД в процессе разработки СЗСИ;

· порядок настройки защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД на конкретные условия функционирования АС;

· порядок ввода в действие и приемки программных и технических средств и систем защиты информации от НСД в составе принимаемой АС;

· порядок использования защищенных СВТ, в том числе программных и технических средств и систем защиты информации от НСД, прошедших сертификационные испытания, в соответствии с классами и требованиями по защите в конкретных системах;

· порядок эксплуатации указанных средств и систем;

· разработку эксплуатационных документов и сертификатов;

· порядок контроля защищенности АС;

· ответственность должностных лиц и различных категорий исполнителей (пользователей) за выполнение установленного порядка разработки и эксплуатации АС в целом и СЗСИ в частности.

Состав документации, определяющей работу в этих направлениях, устанавливают Госстандарт Российской Федерации и Гостехкомиссия России.

Обязательным требованием к ТЗ на разработку СВТ и АС должно быть наличие раздела требований по защите от НСД, а в составе документации, сопровождающей выпуск СВТ и АС, должен обязательно присутствовать документ (сертификат), содержащий результаты анализа их защищенности от НСД.

Подготовка молодых специалистов и переподготовка кадров в области защиты информации, обрабатываемой в АС, от НСД осуществляется в системе Госкомитета Российской Федерации по делам науки и высшей школы и Вооруженных Сил кафедрами вычислительной техники и автоматизированных систем высших учебных заведений по договорам с министерствами, ведомствами и отдельными предприятиями.

Подготовка осуществляется по учебным программам, согласованным с Гостехкомиссией России.

Повышение квалификации специалистов, работающих в этой области, осуществляют межотраслевые и отраслевые институты повышения квалификации и вышеуказанные кафедры вузов по программам, согласованным с Гостехкомиссией России и отраслевыми органами контроля.

6. Защита информации. Специальные защитные знаки. Классификация и общие требования

Несанкционированный доступ (НСД) - нарушение регламентированного доступа к объекту защиты.

Способ изготовления СЗЗ - технологические процессы (приемы и операции, характеризуемые, главным образом, технологическими признаками - последовательностью действий и приемов, их характером, применяемыми режимами, параметрами, инструментами и др.) и материалы (составы и композиции, пасты, пластмассы, лаки, краски и т.д., в том числе полученные химическим путем), используемые для изготовления и производства СЗЗ.

НОУ-ХАУ технология - совокупность различных технических, коммерческих и других сведений, оформленных в виде технической документации, а также навыков и производственного опыта, необходимых для освоения технологий и методов создания СЗЗ, применяемых в деятельности предприятия или в профессиональной деятельности, доступных определенному кругу лиц. Распространение сведений о НОУ-ХАУ технологиях производства СЗЗ должно быть ограничено соблюдением соответствующих режимных мер.

Идентификация СЗЗ - определение подлинности и целостности СЗЗ по его характерным признакам, а также отсутствия изменений в расположении СЗЗ на объекте защиты или документе путем визуального осмотра или с помощью технических средств общего применения, специализированных технических средств с использованием или без использования специальных методик.

Стойкость защитных свойств СЗЗ - способность к образованию комплекса устойчивых признаков, сигнализирующих о фактах воздействия на СЗЗ или попытке доступа к объекту защиты, а также способность сохранять весь комплекс характерных признаков подлинности и целостности СЗЗ при его регламентированном использовании.

Все специальные защитные знаки делятся на 18 классов. Классификация СЗЗ осуществляется на основе оценки их основных параметров: возможности подделки, идентифицируемости и стойкости защитных свойств. Подробные данные приведены в таблице 3.

Таблица 3 - Сводная таблица СЗЗ.

Характеристики Класс СЗЗ защищенности	Возможность подделки	Идентифицируемость	Стойкость защитных свойств
1	А1	В1	С1
2	А1	B2	C1
3	А1	В3	С1
4	A1	B1	C2
5	А1	В2	С2
6	A1	B3	C2
7	А2	В1	С1
8	A2	B2	C1
9	А2	В3	С1
10	A2	B1	C2
11	А2	В2	С2
12	A2	B3	C2
13	А3	В1	С1
14	A3	B2	C1
15	А3	В3	С1
16	A3	B1	C2
17	А3	В2	С2
18	A3	B3	C2

Возможность подделки определяется технологией изготовления СЗЗ:

- А1 - СЗЗ изготовлен с использованием отечественных НОУ-ХАУ технологий;

- А2 - СЗЗ изготовлен с использованием зарубежных НОУ-ХАУ технологий;

- А3 - СЗЗ изготовлен без использования НОУ-ХАУ технологий.

Идентифицируемость определяется уровнем сложности сигнальной информации в знаке:

- В1 - целостность и подлинность СЗЗ могут быть однозначно определены с применением специальных технических средств контроля или с помощью приборов или устройств с дополнительной (оптической, компьютерной и т. п.) обработкой сигнала по специальной методике, основанной на технологии изготовления СЗЗ;

- В2 - целостность и подлинность СЗЗ могут быть однозначно определены на основании специальных методик контроля без применения технических средств контроля или с использованием серийно-выпускаемых технических средств;

- В3 - целостность и подлинность СЗЗ могут быть однозначно определены визуально без применения технических средств и специальных методик контроля.

По стойкости защитных свойств СЗЗ подразделяются на две группы:

- С1 - в технических условиях на СЗЗ задано изменение его внешнего вида и хотя бы одного характерного признака при несанкционированных воздействиях на СЗЗ или нарушении условий его эксплуатации;

- С2 - в технических условиях на СЗЗ задано изменение только его внешнего вида при несанкционированных воздействиях на СЗЗ или нарушении условий его эксплуатации.

Для защиты информации, отнесенной к государственной тайне, и защиты технических средств категорированных объектов используются только СЗЗ, сертифицированные по классу не ниже 6:

- по классам 1 и 2 - для защиты объектов 1 категории и информации соответствующей степени секретности;

- по классам 3 и 4 - для защиты объектов 2 категории и информации соответствующей степени секретности;

- по классам 5 и 6 - для защиты объектов 3 категории и информации соответствующей степени секретности.

Использование СЗЗ, сертифицированных по классам 7 - 12, допускается только для защиты объектов 3 категории и информации соответствующего уровня секретности при обеспечении дополнительных организационно-технических мер защиты, согласованных с Гостехкомиссией России.

При нарушении режима сохранения информации о применяемой НОУ-ХАУ технологии, изменении условий производства и т. п. использование СЗЗ запрещается, ранее выданный сертификат аннулируется.

7. Защита информации в контрольно-кассовых машинах и автоматизированных кассовых системах. Классификация контрольно-кассовых машин, автоматизированных кассовых систем и требования по защите информации

Контрольно-кассовая машина (ККМ) - устройство, предназначенное для автоматизации и механизации учета, контроля и первичной обработки информации кассовых операций и регистрации ее на печатаемых документах в соответствии с принятыми нормативными и правовыми документами.

ФП должна исключать возможность потери информации за счет физического старения носителя фискальных данных в период их хранения или под влиянием окружающей среды (световых и электромагнитных излучений, температуры и пр.) в соответствии с техническими требованиями, оговоренными в действующих нормативных документах, регламентирующих вопросы эксплуатации, хранения и транспортировки ККМ.

В качестве ФП запрещается использовать:

· устройства, информация в которых сохраняется менее 6 лет с момента фискализации ККМ;

· микросхемы памяти, требующие электро-, термо- тренировки для записи информации;

· устройства, требующие технического обслуживания в период хранения фискальных данных;

· устройства, допускающие стирание информации под воздействием внешних источников (ультрафиолетового излучения, электрических сигналов и т.п.).

ФП не должна иметь прямой электрической связи с системной магистралью процессора обработки данных.

Адреса ФП не должны находится в области адресного пространства процессора обработки данных ККМ.

Комплекс средств защиты ФП должен обеспечивать:

· защиту фискальных данных от сбоев по питанию;

· защиту фискальных данных от несанкционированного изменения;

· защиту от стирания (очистки) фискальных данных;

· защиту от использования очищенной ФП без предварительной инициализации;

· защиту от несанкционированной замены ФП;

· защиту от несанкционированного отключения фискального режима;

· контроль правильности записи в ФП фискальных данных;

· сравнение даты записи фискальных данных с датой предыдущей записи в ФП и блокировку записи в случае, если дата осуществляемой записи более ранняя, чем дата предыдущей записи;

· контроль целостности всех фискальных данных, содержащихся в ФП, при записи суточного (сменного) итога в ФП;

· контроль правильности читаемых фискальных данных при снятии отчета ФП и выдачу сообщения при чтении (печати) испорченных фискальных данных.

Средства защиты должны обеспечивать следующие блокировки:

· блокировку всех операций кроме чтения ФП, при обнаружении испорченных фискальных данных в ФП;

· блокировку попыток изменения местоположения десятичной точки до операции перерегистрации;

· блокировку всех операций кроме чтения ФП, при переполнении ФП;

· блокировку всех операций при неисправности ФП;

· блокировку всех операций при отсутствии ФП;

· блокировку попыток подбора пароля доступа к фискальным данным;

· блокировку попыток выполнения любых действий с ФП до записи заводского номера;

· блокировку повторной записи заводского номера;

· блокировку попыток выполнения любых действий с ФП, кроме чтения и записи заводского номера, до проведения фискализации;

· блокировку попыток выполнения более 4-х перерегистраций;

· блокировку попыток выполнения любых действий с использованием пароля доступа к ФП, до записи суточного (сменного) итога в ФП.

Программы управления работой ФП должны быть защищены от изменения.

8. Защита от несанкционированного доступа к информации

Классификация распространяется на ПО, предназначенное для защиты информации ограниченного доступа.

Устанавливается четыре уровня контроля отсутствия недекларированных возможностей. Каждый уровень характеризуется определенной минимальной совокупностью требований.

Для ПО, используемого при защите информации, отнесенной к государственной тайне, должен быть обеспечен уровень контроля не ниже третьего.

Самый высокий уровень контроля - первый, достаточен для ПО, используемого при защите информации с грифом «ОВ».

Второй уровень контроля достаточен для ПО, используемого при защите информации с грифом «CC».

Третий уровень контроля достаточен для ПО, используемого при защите информации с грифом «C».

Самый низкий уровень контроля - четвертый, достаточен для ПО, используемого при защите конфиденциальной информации.

Таблица 4 - Требования к уровню контроля.

№	Наименование требования	Уровень контроля
		4	3	2	1
	Требования к документации
1	Контроль состава и содержания документации
1.1.	Спецификация (ГОСТ 19.202-78)	+	=	=	=
1.2.	Описание программы (ГОСТ 19.402-78)	+	=	=	=
1.3.	Описание применения (ГОСТ 19.502-78)	+	=	=	=
1.4.	Пояснительная записка (ГОСТ 19.404-79)	-	+	=	=
1.5.	Тексты программ, входящих в состав ПО (ГОСТ 19.401-78)	+	=	=	=
	Требования к содержанию испытаний
2.	Контроль исходного состояния ПО	+	=	=	=
3.	Статический анализ исходных текстов программ
3.1.	Контроль полноты и отсутствия избыточности исходных текстов	+	+	+	=
3.2.	Контроль соответствия исходных текстов ПО его объектному (загрузочному) коду	+	=	=	+
3.3.	Контроль связей функциональных объектов по управлению	-	+	=	=
3.4.	Контроль связей функциональных объектов по информации	-	+	=	=
3.5.	Контроль информационных объектов	-	+	=	=
3.6.	Контроль наличия заданных конструкций в исходных текстах	-	-	+	+
3.7.	Формирование перечня маршрутов выполнения функциональных объектов	-	+	+	=
3.8.	Анализ критических маршрутов выполнения функциональных объектов	-	-	+	=
3.9.	Анализ алгоритма работы функциональных объектов на основе блок-схем, диаграмм и т.п., построенных по исходным текстам контролируемого ПО	-	-	+	=
4.	Динамический анализ исходных текстов программ
4.1.	Контроль выполнения функциональных объектов	-	+	+	=
4.2.	Сопоставление фактических маршру-тов выполнения функциональных объектов и маршрутов, построенных в процессе проведения статического анализа	-	+	+	=
5.	Отчетность	+	+	+	+

Обозначения:

«-» - нет требований к данному уровню;

«+» - новые или дополнительные требования;

«=» - требования совпадают с требованиями предыдущего уровня.

9. Защита от несанкционированного доступа к информации. Термины и определения

Таблица 4 - Термины и определения.

Термин	Определение
1. Доступ к информации (Доступ) Access to information	Ознакомление с информацией, ее обработка, в частности, копирование модификация или уничтожение информации
2. Правила разграничения доступа (ПРД) Security policy	Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа
3. Санкционированный доступ к информации Authorized access to information	Доступ к информации, не нарушающий правила разграничения доступа
4. Несанкционированный доступ к информации (НСД) Unauthorized access to information	Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами Примечание. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем
5. Защита от несанкционированного доступа (Защита от НСД) Protection from unauthorized access	Предотвращение или существенное затруднение несанкционированного доступа
6. Субъект доступа (Субъект) Access subject	Лицо или процесс, действия которого регламентируются правилами разграничения доступа
7. Объект доступа (Объект) Access object	Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа
8. Матрица доступа Access matrix	Таблица, отображающая правила разграничения доступа
9. Уровень полномочий субъекта доступа Subject privilege	Совокупность прав доступа субъекта доступа
10. Нарушитель правил разграничения доступа (Нарушитель ПРД) Security policy violator	Субъект доступа, осуществляющий несанкционированный доступ к информации
11. Модель нарушителя правил разграничения доступа (Модель нарушителя ПРД) Security policy violator's model	Абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа
12. Комплекс средств защиты (КСЗ) Trusted computing base	Совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации
13. Система разграничения доступа (СРД) Security policy realization	Совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах
14. Идентификатор доступа Access identifier	Уникальный признак субъекта или объекта доступа
15. Идентификация Identification	Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов
16. Пароль Password	Идентификатор субъекта доступа, который является его (субъекта) секретом
17. Аутентификация Authentication	Проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности
18. Защищенное средство вычислительной техники (защищенная автоматизированная система) Trusted computer system	Средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты
19. Средство защиты от несанкционированного доступа (Средство защиты от НСД) Protection facility	Программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа
20. Модель защиты Protection model	Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа
21. Безопасность информации Information security	Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз
22. Целостность информации Information integrity	Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения)
23. Конфиденциальная информация Sensitive information	Информация, требующая защиты
24. Дискреционное управление доступом Discretionary access control	Разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту
25. Мандатное управление доступом Mandatory access control	Разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности
26. Многоуровневая защита Multilevel security	Защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности
27. Концепция диспетчера доступа Reference monitor concept	Концепция управления доступом, относящаяся к абстрактной машине, которая посредничает при всех обращениях субъектов к объектам
28. Диспетчер доступа (ядро защиты) Security kernel	Технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа
29. Администратор защиты Security administrator	Субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации
30. Метка конфиденциальности (Метка) Sensitivity label	Элемент информации, который характеризует конфиденциальность информации, содержащейся в объекте
31. Верификация Verification	Процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем на надлежащее соответствие
32. Класс защищенности средств вычислительной техники, автоматизированной системы Protection class of computer systems	Определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации
33. Показатель защищенности средств вычислительной техники (Показатель защищенности) Protection criterion of computer systems	Характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности средств вычислительной техники
34. Система защиты секретной информации (СЗСИ) Secret information security system	Комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в автоматизированных системах
35. Система защиты информации от несанкционированного доступа (СЗИ НСД) System of protection from unauthorized access to information	Комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах
36. Средство криптографической защиты информации (СКЗИ) Cryptographic information protection facility	Средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности
37. Сертификат защиты (Сертификат) Protection certificate	Документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных
38. Сертификация уровня защиты (Сертификация) Protection level certification	Процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите



Список использованной литературы

1. Конституция Российской Федерации от 12 декабря 1993 г. // Российская Газета - 25 декабря - 1993г.

2. Федеральный закон РФ от 28 декабря 2010 г. №380-Ф3 «О безопасности».

3. Федеральный закон РФ от 27 июля 2006 г. №149-Ф3 «Об информации, информационных технологиях и защите информации».

4. Федеральный закон РФ от 4 мая 2011 г. №99-Ф3 «О лицензировании отдельных видов деятельности».

Размещено на Allbest.ru