Спецификации TCSEC и российская система оценки безопасности информационных систем

      Санкт-Петербургский национальный  исследовательский     университет  информационных технологий, механики  и оптики 

 

                                                            ИМБиП

 

                     

Реферат

 

По дисциплине: «Информационные таможенные технологии»

На тему: «Спецификации TCSEC и российская система оценки безопасности информационных систем»

 

                                                                             Выполнила студентка 4 го курса

                                                                                                                Группа 4440

                                                                                                                Перова А.С.

 

                                                                         

                                                               Проверил: _________________________

                                                               Оценка:____________________________

                                                                Подпись:__________________________

                                                              «___» ____________________ 2013 год

 

 

 

 

 

 

 

Санкт- Петербург

                                                          2013 год

Содержание:

 

1.Спецификации TCSEC………………………………………………………………стр 3-6

2.Российская система оценки безопасности информационных систем.

 1. Понятия и принципы информационной безопасности…………………………..стр  6-9

 2. Общие термины и определения………………………………………….…………стр  9-14

   

 3. Совместимость зарубежных и российских стандартов……………….……….....стр 14-15

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Спецификации TCSEC и российская система оценки безопасности информационных систем.

1.Спецификации TCSEC.

В январе 1981 года в соответствии с директивой министра обороны США N 5215.1 с целью определения пригодности предлагаемых различными разработчиками компьютерных систем был создан Центр компьютерной безопасности министерства обороны США.

Позднее, в сентябре 1985 года, этот центр был переименован в Национальный центр компьютерной безопасности (National Computer Security Center; NCSC).

Оценивание  компьютерных систем осуществлялось и  осуществляется на основании стандарта, известного как Критерии оценки пригодности  компьютерных систем министерства обороны (Department of Defence Trusted Computer System Evaluation Criteria;TCSEC), установленного в 1983 году директивой министра обороны N5200.28-STD. TCSEC известен также под названием "Оранжевая книга" по цвету обложки книги. TCSEC определяет средства, которые должны быть включены в компьютерную систему для того, чтобы такая система была безопасной в отношении обработки критической информации.

Требования TCSEC, предъявляемые к компьютерной системе (продукту) в процессе оценивания, условно  можно разделить на четыре типа - требования проведения последовательной политики безопасности (security policy), требования ведения учета использования продукта (accounts), требования доверия к продукту (assurance) и требования к документации на продукт.

Согласно TCSEC, для оценивания компьютерных систем выделено четыре основных группы безопасности, которые в свою очередь делятся на классы безопасности:

- группа Д  - Minimal Protection (минимальная защита) - объединяет  компьютерные системы, не удовлетворяющие  требованиям безопасности высших классов. В данном случае группа и класс совпадают;

- группа С  - Discretionary Protection (избирательная защита) - объединяет системы, обеспечивающие  набор средств защиты, применяемых  пользователем, включая средства  общего контроля и учета субъектов и их действий. Эта группа имеет два класса:

1) класс С1 - Discretionary Security Protection (избирательная защита  безопасности) - объединяет системы  с разделением пользователей  и данных;

2) класс С2 - Controlled Access Protection (защита контролируемого доступа) - объединяет системы, обеспечивающие более тонкие средства защиты по сравнению с системами класса С1, делающие пользователей индивидуально различимыми в их действиях посредством процедур контроля входа и контроля за событиями, затрагивающими безопасность системы и изоляцию данных.

Примечание: Компьютерные системы, которые могут быть использованы для нужд министерства обороны США, должны как минимум иметь рейтинг  безопасности С2.

- группа В  - Mandatory Protection (полномочная защита) - имеет три класса:

1) класс В1 - Labeled Security Protection (меточная защита безопасности) - объединяет системы, удовлетворяющие  всем требованиям класса С2, дополнительно  реализующие заранее определенную  модель безопасности, поддерживающие  метки субъектов и объектов, полный контроль доступа. Вся выдаваемая информация регистрируется, все выявленные при тестировании недостатки должны быть устранены;

2) класс В2 - Structured Protection (структурированная защита) - объединяет системы, в которых  реализована четко определенная и задокументированная формализованная модель обеспечения безопасности, а меточный механизм разделения и контроля доступа, реализованный в системах класса В1, распространен на всех пользователей, все данные и все виды доступа. По сравнению с классом В1 ужесточены требования по идентификации пользователей, контролю за исполнением команд управления, усилена поддержка администратора и операторов системы. Должны быть проанализированы и перекрыты все возможности обхода защиты. Системы класса В2 считаются "относительно неуязвимыми" для несанкционированного доступа;

3) класс В3 - Security Domains (области безопасности) - объединяет  системы, имеющие специальные  комплексы безопасности. В системах  этого класса должен быть механизм  регистрации всех видов доступа любого субъекта к любому объекту. Должна быть полностью исключена возможность несанкционированного доступа. Система безопасности должна иметь небольшой объем и приемлемую сложность для того, чтобы пользователь мог в любой момент протестировать механизм безопасности. Системы этого класса должны иметь средства поддержки администратора безопасности; механизм контроля должен быть распространен вплоть до сигнализации о всех событиях, затрагивающих безопасность; должны быть средства восстановления системы. Системы этого класса считаются устойчивыми к несанкционированному доступу.

- группа А  - Verified Protection (проверяемая защита) - объединяет  системы, характерные тем, что  для проверки реализованных в  системе средств защиты обрабатываемой  или хранимой информации применяются формальные методы. Обязательным требованием является полная документированность всех аспектов проектирования, разработки и исполнения систем. Выделен единственный класс:

1) класс А1 - Verified Desing (проверяемая разработка) - объединяющий системы, функционально эквивалентные системам класса В3 и не требующие каких-либо дополнительных средств. Отличительной чертой систем этого класса является анализ формальных спецификаций проекта системы и технологии исполнения, дающий в результате высокую степень гарантированности корректного исполнения системы. Кроме этого, системы должны иметь мощные средства управления конфигурацией и средства поддержки администратора безопасности.

 Основное содержание требований по классам безопасности TCSEC приведено в таблице 1.

 

Таблица 1. Классы безопасности в "Оранжевой книге"

Требования	К л а с  с ы
	С1	C2	B1	B2	B3	A1
1 Требования  к политике безопасности
1.1 Произвольное  управление доступом	+	+	=	=	+	=
1.2 Повторное  использование объектов	-	+	=	=	=	=
1.3 Метки безопасности	-	-	+	+	=	=
1.4 Целостность  меток безопасности	-	-	+	+	=	=
1.5 Принудительное  управление доступом	-	-	+	+	=	=
2 Требования  к подотчетности
2.1 Идентификация  и аутентификация	+	+	+	=	=	=
2.2 Предоставление  надежного пути	-	-	-	+	+	=
2.3 Аудит	-	+	+	+	+	=
3 Требования  к гарантированности
3.1 Операционная  гарантированность
3.1.1 Архитектура  системы	+	+	+	+	+	=
3.1.2 Целостность  системы	+	=	=	=	=	=
3.1.3 Анализ тайных  каналов передачи информации	-	-	-	+	+	+
3.1.4 Надежное  администрирование	-	-	-	+	+	=
3.1.5 Надежное  восстановление	-	-	-	-	+	=
3.2 Технологическая  гарантированность
3.2.1 Тестирование	+	+	+	+	+	+
3.2.2 Верификация  спецификаций архитектуры	-	-	+	+	+	+
3.2.3 Конфигурационное управление	-	-	-	+	=	+
3.2.4 Надежное  распространение	-	-	-	-	-	+
4 Требования  к документации
4.1 Руководство  пользователя по средствам безопасности	+	=	=	=	=	=
4.2 Руководство  администратора по средствам  безопасности	+	+	+	+	+	+
4.2 Тестовая документация	+	=	=	+	=	+
4.4 Описание  архитектуры	+	=	+	+	+	+

Обозначения:

"-" - нет  требований к данному классу "+" - новые или дополнительные требования "=" - требования совпадают с требованиями предыдущего класса

2.Российская система оценки безопасности информационных систем.

1. Понятия и  принципы информационной безопасности.

 

Проблема обеспечения  информационной безопасности в рамках любого государства в последнее  время все чаще является предметом  обсуждения не только в научных кругах, но и на политическом уровне. Данная проблема также становится объектом внимания международных организаций, в том числе и ООН.

Современный этап развития общества характеризуется возрастающей ролью электронных ресурсов, представляющих собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений.

Стремительный рост компьютерных технологий в различных сферах человеческой деятельности, с одной стороны, позволил обеспечить высокие достижения в этих сферах, а с другой стороны, стал источником самых непредсказуемых и вредных для человеческого общества последствий. В результате, можно говорить о появлении принципиально нового сегмента международного противоборства, затрагивающего как вопросы безопасности отдельных государств, так и общую систему международной безопасности на всех уровнях.

 

В России положения, касающиеся информационной безопасности, включены в «Концепцию национальной безопасности РФ», утвержденную Указом Президента РФ от 17.12.1997 г., в ред. Указа Президента от 10.01.2000 г., а также в Военную доктрину РФ, утвержденную Указом Президента РФ от 21.04.2000 г. Кроме того, в рамках Совета безопасности РФ разрабатывается проект «Концепции совершенствования правового

обеспечения информационной безопасности РФ».

09 сентября 2000 года  Президентом РФ была утверждена Доктрина информационной безопасности РФ. Доктрина информационной безопас- ности Российской Федерации представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации, раз вивает Концепцию национальной безопасности Российской Федерации

применительно к информационной сфере.

В декабре 2002 года принят ФЗ «О внесении изменений и дополнений в Закон РФ «О правовой охране программ для ЭВМ и баз данных», 29 июля 2004 года подписан Закон «О коммерческой тайне», на рассмотрении в Государственной Думе находится законопроект «Об информации персонального характера». Назрела необходимость разработки и принятия законов «О служебной тайне», «О профессиональной тайне».

Принятие указанных  законов обусловлено положениями Доктрины информационной безопасности РФ, в которой в качестве основных составляющих национальных интересов России в информационной сфере выделяются меры правового характера, обеспечивающие конституционные права человека и гражданина свободно искать, передавать, производить и распространять информацию любым законным способом, конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Необходимо  сказать, что кроме вышеуказанных законов за последнее десятилетие в России реализован комплекс мер по совершенствованию обеспечения информационной безопасности. Для правового обеспечения информационной безопасности приняты Федеральные законы «О государственной тайне», «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», а также ряд других нормативных актов. В новых Гражданском и Уголовном кодексах предусмотрена ответственность за правонарушения и преступления в информационной сфере.

Специалистам  в области информационной безопасности сегодня почти невозможно обойтись без знаний соответствующих стандартов и спецификаций. На то имеется несколько причин.

Формальная  состоит в том, что необходимость следования некоторым стандартам (например, криптографическим и/или Руководящим документам Гостехкомиссии России) закреплена законодательно. Однако наиболее убедительны содержательные причины.

Во-первых, стандарты и спецификации –одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях информационной безопасности. В них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами.

Во-вторых, и  те и другие являются основным средством обеспечения взаимной совместимости аппаратно-программных систем и их компонентов.

Отмеченная  роль стандартов зафиксирована в основных понятиях закона РФ «О техническом регулировании» от 27 декабря 2002 года:

· стандарт –документ, в котором в целях добровольного многократного использования устанавливаются характеристики продукции, правила осуществления и характеристики процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ или оказания услуг.

Стандарт также может  содержать требования к терминологии, символике, упаковке, маркировке или этикеткам и правилам их нанесения;