Руководящий документ. Защита АС и СВТ от несанкционированного доступа к информации.

Классификация автоматизированных систем

Учебное пособие

Санкт-Петербург 2010

Содержание

Введение

Учебное пособие предназначено для студентов направления прикладной информатики. Данное пособие позволяет систематизировать полученные ранее знания по таким дисциплинам как: «Основы информационной безопасности»; «Информационная безопасность и защита информации»; «Технические средства управления», а также более глубоко усвоить разделы:

· концептуальные положения организационного обеспечения информационной безопасности;

· цели и задачи организационной защиты информации, ее связь с правовой и инженерно-технической защитой информации;

· виды угроз информационной безопасности на объекте защиты и их характеристика;

· модель нарушителя информационной безопасности на объекте, формы преступного посягательства;

· основные направления организационной защиты на объекте;

· порядок классификации АС и содержание каждого этапа;

· выполнить лабораторную работу «Классификация автоматизированных систем» (далее АС), а также подготовить студентов к практической работе в области защиты информации.

Будущий специалист с высшим профессиональным образованием по комплексному обеспечению информационной безопасности автоматизированных систем (или информационной безопасности телекоммуникационных систем) должен твердо усвоить, что работа объекта информатизации невозможна без проведения аттестации объекта информатизации (без получения аттестата соответствия), а получение данного документа невозможно без определения класса защищенности АС (проведения классификации АС).

"Система сертификации ГОСТ Р" и "Правила по проведению сертификации в Российской Федерации" включают в систему сертификации средств защиты информации по требованиям безопасности информации аттестацию объектов информатизации по требованиям безопасности информации.

Основными организационно-техническими мероприятиями по защите информации в общегосударственных информационных и телекоммуникационных системах являются:

· лицензирование деятельности организаций в области защиты информации;

· создание и применение информационных и автоматизированных систем управления в защищенном исполнении;

· категорирование объектов информатизации;

· классификация автоматизированных систем;

· сертификация средств защиты информации и контроля эффективности их использования, а также защищенности информации от утечки по техническим каналам систем и средств информатизации и связи;

· аттестация объектов информатизации по выполнению требований обеспечения защиты информации при проведении работ, связанных с использованием сведений, составляющих государственную тайну;

· введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите.

Классификация автоматизированных систем (АС) предшествует аттестации объекта информатизации проводится при изменении режима обработки информации или внесении каких-либо изменений в (АС).

Методические указания по выполнению лабораторной работы «Классификация АС» и приведенный вариант отчета позволяют студентам подготовить материал (исходные данные) для выполнения следующей лабораторной работы «Подготовка исходных данных по аттестуемому объекту информатизации» по таким ее разделам как:

технические каналы утечки информации;

виды угроз информационной безопасности для АС и их характеристика;

оценка ущерба вследствие организационных нарушений информационной безопасности на объекте.

ОБЩИЕ ПОЛОЖЕНИЯ

Безопасность государства обеспечивается лицензированием широкого спектра видов деятельности, в том числе в области информационной безопасности (ИБ).Система лицензирования направлена на создание условий, при которых право заниматься работами с информацией ограниченного доступа для стороннего заказчика предоставлено только организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию).

Система государственного лицензирования деятельности в области защиты информации является составной частью государственной системы защиты информации. Деятельность системы лицензирования организуют федеральные органы исполнительной власти в пределах своей компетенции.

Угрозы информационной безопасности в ходе реализации Стратегии национальной безопасности РФ предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в Российской Федерации, повышения уровня защищенности корпоративных и индивидуальных информационных систем, создания единой системы информационно-телекоммуникационной поддержки нужд системы обеспечения национальной безопасности. Добиться этого можно только правильно определив класс защищенности автоматизированной (АС) системы от несанкционированного доступа (НСД), т.е. провести классификацию АС.

Нормативную правовую базу проведения классификации АС составляют соответствующие статьи законов:

Закон РФ от 21 июля 1993 г. N 5485-1 "О государственной тайне"(с изменениями от 22.08.2004 N 122-ФЗ);

Федеральный закон Российской Федерации от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

Федеральный закон от 27 декабря 2002 года № 184-ФЗ "О техническом регулировании" (в ред. Федерального закона от 09.05.2005 № 45-ФЗ, от 01.05.2007 №65-ФЗ, от 01.12.2007 №309-ФЗ);

Федеральный закон от 07.07.03 г. № 126-ФЗ "О связи";

Федеральный закон от 08.08.01г. № 128-ФЗ "О лицензировании отдельных видов деятельности";

Федеральный закон от 10.01.02 г. № 1-ФЗ ''Об электронной цифровой подписи''.

Указы Президента Российской Федерации:

Указ Президента Российской Федерации от 16.08.04 г. № 1085 "Вопросы Федеральной службы по техническому и экспортному контролю";

Указ Президента Российской Федерации от 12 мая 2009 г. N 537 "О Стратегии национальной безопасности Российской Федерации до 2020 года";

Указ Президента Российской Федерации от 06.03.97 г. № 188 " Об утверждении перечня сведений конфиденциального характера";

Указ Президента Российской Федерации от 06.10.98 г. № 1189 ''О мерах по обеспечению информационной безопасности Российской Федерации в сфере международного информационного обмена''.

Постановления Правительства Российской Федерации:

Постановление Правительства РФ от 26 июня 1995 г. № 608 "О сертификации средств защиты информации"(в ред. Постановления Правительства РФ от 23.04.96 № 509);

Постановление Правительства Российской Федерации от 03.11.94 г. № 1233 "Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти";

Постановление Правительства Российской Федерации от 11.02.02 г. № 135 "О лицензировании отдельных видов деятельности";

Постановление Правительства Российской Федерации от 30.04.02 г. № 290 "О лицензировании деятельности по технической защите конфиденциальной информации'';

Постановление Правительства Российской Федерации от 15.04.95 г. № 333 "О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны";

Постановление Правительства Российской Федерации от 27.05.02 г. № 348 "Об утверждении Положения о лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации'';

"Положение по аттестации объектов информатизации по требованиям безопасности информации";

Постановление Правительства Российской Федерации от 17 ноября 2007 г. N 781 "Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных;

Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Приказ председателя Гостехкомиссии России от 30.08.02 г. № 282;

"Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам" – Положение 93;

Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных";

Приказ ФСТЭК России от 5 февраля 2010 г. N 58 г. Москва "Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных" (см. приложение 2);

Распоряжение Правительства Российской Федерации от 9 июня 2005 г. N 748-р г. Москва об утверждении Концепции создания системы персонального учета населения Российской Федерации.

Нормативные документы, используемые как база обеспечения информационной безопасности на предприятии показаны в приложении 1.

Классификация необходима для более детальной, дифференцированной разработки требований по защите информации АС от НСД с учетом специфических особенностей этих систем.

В основу системы классификации АС должны быть положены следующие характеристики объектов и субъектов защиты, а также способов их взаимодействия:

· информационные - определяющие ценность информации, ее объем и степень (гриф) конфиденциальности, а также возможные последствия неправильного функционирования АС из-за искажения (потери) информации;

· организационные - определяющие полномочия пользователей;

· технологические - определяющие условия обработки информации, например, способ обработки (автономный, мультипрограммный и т.д.), время циркуляции (транзит, хранение и т.д.), вид АС (автономная, сеть, стационарная, подвижная и т.д.).

Формы оценки и подтверждения соответствия показаны на рис. 1.

Рис. 1 Формы подтверждения и оценки соответствия

Декларация о соответствии и сертификат соответствия имеют одинаковую юридическую силу.

Что касается обеспечения безопасности информации ограниченного доступа, то в соответствии с требованиями ст. 5 ФЗ-128 «О техническом регулировании» формой подтверждения соответствия является обязательное подтверждение соответствия.

Подтверждение соответствия осуществляется в целях:

· удостоверения соответствия продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, работ, услуг или иных объектов техническим регламентам, стандартам, условиям договоров;

· содействия приобретателям в компетентном выборе продукции, работ, услуг;

· повышения конкурентоспособности продукции, работ, услуг на российском и международном рынках;

· создания условий для обеспечения свободного перемещения товаров по территории Российской Федерации, а также для осуществления международного экономического, научно-технического сотрудничества и международной торговли.

Подтверждение соответствия осуществляется на основе принципов:

· доступности информации о порядке осуществления подтверждения соответствия заинтересованным лицам;

· недопустимости применения обязательного подтверждения соответствия к объектам, в отношении которых не установлены требования технических регламентов;

· установления перечня форм и схем обязательного подтверждения соответствия в отношении определенных видав продукции в соответствующем техническом регламенте;

· уменьшения сроков осуществления обязательного подтверждения соответствия и затрат заявителя;

· недопустимости принуждения к осуществлению добровольного подтверждения соответствия, в том числе в определенной системе добровольной сертификации;

· защиты имущественных интересов заявителей, соблюдения коммерческой тайны в отношении сведений, полученных при осуществлении подтверждения соответствия;

· недопустимости подмены обязательного подтверждения соответствия добровольной сертификацией.

Подтверждение соответствия разрабатывается и применяется равным образом и в равной мере независимо от страны и (или) места происхождения продукции, осуществления процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации, выполнения работ и оказания услуг, видов или особенностей сделок и (или) лиц, которые являются изготовителями, исполнителями, продавцами, приобретателями.

Подтверждение соответствия на территории Российской Федерации, как видно из рис.1, может носить добровольный или обязательный характер.

Добровольное подтверждение соответствия осуществляется в форме добровольной сертификации.

Обязательное подтверждение соответствия осуществляется в формах:

· принятия декларации о соответствии (далее - декларирование соответствия);

· обязательной сертификации.

Порядок применения форм обязательного подтверждения соответствия устанавливается Федеральным законом "О техническом регулировании".

Добровольное подтверждение соответствия осуществляется по инициативе заявителя на условиях договора между заявителем и органом по сертификации. Добровольное подтверждение соответствия может осуществляться для установления соответствия национальным стандартам, стандартам организаций, системам добровольной сертификации, условиям договоров.

Объектами добровольного подтверждения соответствия являются продукция, процессы производства, эксплуатации, хранения, перевозки, реализации и утилизации, работы и услуги, а также иные объекты, в отношении которых стандартами, системами добровольной сертификации и договорами устанавливаются требования.

Орган по сертификации:

осуществляет подтверждение соответствия объектов добровольного подтверждения соответствия;

выдает сертификаты соответствия на объекты, прошедшие добровольную сертификацию;

предоставляет заявителям право на применение знака соответствия, если применение знака соответствия предусмотрено соответствующей системой добровольной сертификации;

приостанавливает или прекращает действие выданных им сертификатов соответствия.

Система добровольной сертификации может быть создана юридическим лицом и (или) индивидуальным предпринимателем или несколькими юридическими лицами и (или) индивидуальными предпринимателями.

Подробный анализ названных выше законов, а также проектов других законов, находящихся на доработке или на рассмотрении органов законодательной власти, показывает, что государство, владея информацией, представляющей национальное достояние или содержащей сведения ограниченного доступа, неправомерное обращение с которой может нанести ущерб ее собственнику, изыскивает специальные меры, обеспечивающие контроль ее использования и качества защиты. С учетом современных условий, контроль за использованием информации можно эффективно осуществлять через лицензирование деятельности предприятий и организаций, а за качеством систем обработки и защиты информации - через систему обязательной сертификации.

Система государственного лицензирования деятельности предприятий в области защиты информации является составной частью государственной системы защиты информации.

Под лицензированием в области защиты информации понимают деятельность, заключающуюся в передаче или получении прав на проведение работ в области защиты информации. Оформленное соответствующим образом разрешение на право проведения тех или иных работ в области защиты информации называется ЛИЦЕНЗИЕЙ в области защиты информации, а сторона, получившая право на проведение работ в области защиты информации, именуется ЛИЦЕНЗИАТОМ.

Система государственного лицензирования направлена на создание условий, при которых право заниматься работами по защите информации предоставляется только организациям, имеющим на этот вид деятельности соответствующее разрешение (лицензию).

Порядок и правила лицензирования деятельности предприятий и организаций и сертификации продукции в области защиты информации в значительной степени зависят от того, о какой информации идет речь: об информации, отнесенной к государственной тайне, или о любой другой конфиденциальной информации.

Поэтому, в частности, в настоящее время созданы и действуют несколько систем лицензирования.

Во-первых, существует лицензирование деятельности предприятий с использованием сведений, составляющих государственную тайну. Правовой основой лицензионной деятельности служит Закон РФ «О государственной тайне», в котором сказано, что допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации и оказанием услуг по защите государственной тайны, осуществляется путем получения ими лицензий на проведение этих работ. Развитием положений данного Закона является Постановление Правительства РФ №333 от 15 апреля 1995 года «О лицензировании деятельности предприятий и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также с осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны», которое и определяет пределы компетенции органов, уполномоченных на ведение лицензионной деятельности. В соответствии с ним лицензии на право проведения работ, связанных с использованием сведений, составляющих государственную тайну, выдаются ФСБ России и ее территориальными органами - на территории России, службой внешней разведки (СВР) России - за рубежом.

Во-вторых, из вышесказанных документов следует, что лицензии предприятиям на право осуществления мероприятий и оказания услуг в области защиты государственной тайны и конфиденциальной информации выдают ФСБ России и ее территориальные органы, ФСТЭК России, СВР России в пределах их компетенции.

В-третьих, лицензирование деятельности в области защиты информации и работ, связанных с созданием средств защиты информации, осуществляют ФСТЭК России в пределах ее компетенции. Правовой основой этой лицензионной деятельности служат Указ Президента Российской Федерации от 16.08.04 г. № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю». Указ определяет, что работы по защите информации от утечки по техническим каналам могут осуществляться только на основе лицензии, и разрешили ФСТЭК выдавать предприятиям и организациям такие лицензии в пределах ее компетенции. Там же указано, что обеспечение государственного лицензирования по вопросам защиты информации возложено на центральный аппарат ФСТЭК России. В то же время Закон «О федеральных органах правительственной связи и информации» требовал лицензирования производства и эксплуатации шифровальных средств, предоставления услуг в этой области и возлагал на органы ФАПСИ ответственность за ведение лицензионной деятельности в пределах их компетенции. Поэтому в 1994 году совместным решением Гостехкомиссии и ФАПСИ № 10 введено в действие «Положение о государственном лицензировании деятельности в области защиты информации», которое определяет границы компетенции этих органов в вопросах выдачи лицензий на определенные виды деятельности и собственно порядок их получения. На сегодняшний день эти функции исполняют ФСБ и ФСТЭК России.

Чтобы получить официальный документ, подтверждающий эффективность принятых организационно-технических мер, необходимо выполнить целый комплекс мероприятий. Порядок выполнения этих мероприятий показан на рис.2

Рис. 2 Этапы подтверждения соответствия при работе с информацией ограниченного доступа

Как видно из рис. 2 для того чтобы получить аттестат соответствия при работе с информацией ограниченного доступа необходимо провести аттестование объекта информатизации (ОИ), а аттестованию ОИ предшествует классификация автоматизированных систем (АС). В зависимости от вида информации ограниченного доступа, содержание и порядок выполняемых работ при проведении классификации АС имеет свои особенности.

В части 2 ст. 5 Федерального закона «Об информации, информационных технологиях и о защите информации» приводится разделение информации в зависимости от категории доступа к ней. По этому основанию информация может быть:

§ общедоступной;

§ ограниченного доступа.

Виды информации в зависимости от категории доступа к ней показаны на рис. 3.

Рис. 3 Виды информации в зависимости от категории доступа к ней

Общедоступной информацией являются общеизвестные сведения и иная информация, доступ к которой не ограничен. Установлению правового режима общедоступной информации посвящена ст. 7 Федерального закона «Об информации, информационных технологиях и о защите информации».

К информации ограниченного доступа относится информация, содержащая сведения о государственной тайне и конфиденциальная информация.

В целях дифференцированного подхода к защите информации производится классификация АС по требованиям защищенности от НСД к информации в соответствии с требованиями руководящего документа «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации». Информационные системы персональных данных (ИСПДн) классифицируют в соответствии с требованиями приказа Федеральной службы по техническому и экспортному контролю (ФСТЭК России) Федеральной службы безопасности Российской Федерации (ФСБ России) Министерства информационных технологий и связи Российской Федерации (Мининформсвязи России) от 13 февраля 2008 г. N 55/86/20 г. Москва "Об утверждении Порядка проведения классификации информационных систем персональных данных".

Класс защищенности АС от НСД к информации устанавливается совместно заказчиком и разработчиком АС с привлечением специалистов по защите информации в соответствии с требованиями руководящего документа (РД) Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" и раздела 5 Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К) и оформляется актом.

Классифицируются АС любого уровня и назначения. Классификации подлежат все действующие, но ранее не классифицированные, и разрабатываемые АС, предназначенные для обработки конфиденциальной информации. Если АС, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, образуемая при этом АС более высокого уровня классифицируется в целом, а в отношении АС нижнего уровня классификация не производится.

Если объединяются АС различных классов защищенности, то интегрированная АС должна классифицироваться по высшему классу защищенности входящих в нее АС, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защищенности. В случае, когда признаки классифицируемой АС (п. 1.7. РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации") не совпадают с предложенными в РД (п. 1.9) группами по особенностям обработки информации в АС, то при классификации выбирается наиболее близкая группа защищенности с предъявлением к АС соответствующих дополнительных требований по защите информации. (Например, однопользовательская АС с информацией различного уровня конфиденциальности по формальным признакам не может быть отнесена к 3 группе защищенности. Однако, если дополнительно реализовать в такой системе управление потоками информации, то необходимый уровень защиты будет обеспечен).

Конкретные требования по защите информации и мероприятия по их выполнению определяются в зависимости от установленного для АС класса защищенности.

В соответствии с РД Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" устанавливается следующий порядок классификации АС в зависимости от вида сведений конфиденциального характера:

· АС, обрабатывающие информацию, составляющую служебную тайну, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Г;

· АС, обрабатывающие персональные данные, должны быть отнесены по уровню защищенности к классам 3Б, 2Б и не ниже 1Д.

Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен.

Класс защищенности АС необходимо определить с одной стороны для того чтобы пройти аттестационные испытания и получить аттестат соответствия, а с другой стороны для того чтобы приступить к созданию системы защиты и разработки политики безопасности организации.

В соответствии с положениями Федерального закона от 8 августа 2001 г. № 128 «О лицензировании отдельных видов деятельности» и требованиями постановления Правительства Российской Федерации от 16 августа 2006 г. № 504 «О лицензировании деятельности по технической защите конфиденциальной информации» операторы ИСПДн для проведения мероприятий по обеспечению безопасности ПДн (конфиденциальной информации) при их обработке в ИСПДн 1, 2 классов и в распределенных информационных системах 3 класса должны получить лицензию на осуществление деятельности по технической защите конфиденциальной информации в установленном порядке.

На рис.4 показаны факторы, влияющие на структуру системы защиты информационной системы персональных данных.

Рис.4 Факторы, влияющие на структуру системы защиты информационной системы персональных данных

Как видно из рисунка одним из основных факторов, влияющих на структуру системы защиты, является класс защищенности АС (ИСПДн).

Классификация распространяется на все действующие и проектируемые АС учреждений, организаций и предприятий, обрабатывающие конфиденциальную информацию.

Деление АС на соответствующие классы по условиям их функционирования с точки зрения защиты информации необходимо в целях разработки и применения обоснованных мер по достижению требуемого уровня защиты информации.

Дифференциация подхода к выбору методов и средств защиты определяется важностью обрабатываемой информации, различием АС по своему составу, структуре, способам обработки информации, количественному и качественному составу пользователей и обслуживающего персонала.

Класс защищенности влияет на содержание политики безопасности. При разработке политики безопасности в общие положения политики безопасности организации, относящиеся к защитным сервисам, должны быть включены разделы:

· описание правил идентификации и аутентификации всех субъектов доступа (порядок аутентификации, разделение функций пользователя и администратора, условия, накладываемые на порядок аутентификации в зависимости от статуса и условий работы пользователя в информационной системе);

· описание управления доступом к информационным ресурсам сервиса безопасности (модель доступа, критерии предоставления доступа, наборы привилегий субъектов доступа, порядок изменения правил доступа);

· описание подотчетности пользователей, реализуемой посредством сервиса безопасности (какие действия пользователей при работе с какими сервисами могут быть подотчетны при применении объекта оценки, описанного в профиле);

· описание правил протоколирования и аудита для анализа функционирования сервиса безопасности;

· обеспечение доступности коммуникационных каналов;

· описание правил обеспечения конфиденциальности и целостности управляющей информации (в частности, при удаленном администрировании);

· описание порядка обеспечения целостности аппаратно-программной и информационной частей сервиса безопасности (список контролируемых компонент, порядок контроля и т.д.);

· обеспечение невозможности обхода защитных средств (набор управленческих решений, обеспечивающих соответствующие предположения безопасности).

ОСНОВНЫЕ ЭТАПЫ КЛАССИФИКАЦИИ АС

Основными этапами классификации АС являются:

· разработка и анализ исходных данных;

· выявление основных признаков АС, необходимых для классификации;

· сравнение выявленных признаков АС с классифицируемыми;

· присвоение АС соответствующего класса защиты информации от НСД;

· оформление акта классификации.

Необходимыми исходными данными для проведения классификации конкретной АС являются:

· перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности;

· перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий;

· матрица доступа или матрица полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС;

· режим обработки данных в АС.

Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.

К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

· наличие в АС информации различного уровня конфиденциальности;

· уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

· режим обработки данных в АС коллективный или индивидуальный.

Устанавливается девять классов защищенности АС от НСД к информации.

Каждый класс характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС.

В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС.

Третья группа классифицирует АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса - 3Б и 3А.

Вторая группа классифицирует АС, в которых пользователи имеют одинаковые права доступа (полномочия) ко всей информации АС, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса-2Б и 2А.

Первая группа классифицирует многопользовательские АС, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Группа содержит пять классов - 1Д, 1Г, 1В, 1Б и 1А.

КЛАССИФИКАЦИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ

Классификация автоматизированных систем начинается с подписания приказа руководителя организации о назначении комиссии по классификации АС. Вариант приказа руководителя предприятия о назначении комиссии для проведения классификации АС см. приложение 3.

Приступая к работе по классификации АС комиссия должна оценить обстановку. Порядок оценки обстановки показан на рис.5

Рис.5 Порядок оценки обстановки по классифицируемой АС

1). При анализе информационных ресурсов необходимо оценить:

Не нашли, что искали? Воспользуйтесь поиском по сайту: