Поиск

Полнотекстовый поиск:
Где искать:
везде
только в названии
только в тексте
Выводить:
описание
слова в тексте
только заголовок

Рекомендуем ознакомиться

'Документ'
Обзорная экскурсия «Коломна - мой город старинный».Пешая экскурсия по территории Коломенского кремля - памятник архитектуры 16 века:, Маринкина башня,...полностью>>
'Рабочая программа'
Основные подходы в определении PR: альтруистический, компромиссный, прагматический. PR как деятельности. Понятие общественность, целевые аудитории, к...полностью>>
'Руководство'
* Публикуется по изданию:Михайлов Б. В., Сердюк А. И., Федосеев В. А. Психотерапия в общесоматической медицине: Клиническое руководство / Под общ. ред...полностью>>
'Документ'
знати архітектуру, периферійні модулі та систему команд однокристальних мікроконтролерів сімейства AVR фірми ATMEL; основні етапи проектування та від...полностью>>

Учебное пособие санкт-Петербург 2008 удк 621. 865. 8 Гатчин Ю. А., Симоненко З. Г. Учебное пособие.Вопросы технологии сертификации средств защиты информации. Спб гу итмо, 2008.  120с. Рецензенты

Главная > Учебное пособие
Сохрани ссылку в одной из сетей:



Министерство образования и науки РФ

Федеральное агентство по образованию

Государственное образовательное учреждение

высшего профессионального образования

Санкт-Петербургский государственный университет

информационных технологий, механики и оптики

Ю.А.Гатчин, З.Г. Симоненко

ВОПРОСЫ ТЕХНОЛОГИИ СЕРТИФИКАЦИИ

СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

УЧЕБНОЕ ПОСОБИЕ



Санкт-Петербург

2008

УДК 621. 865.8

Гатчин Ю.А., Симоненко З.Г. Учебное пособие.Вопросы технологии сертификации средств защиты информации.СПб ГУ ИТМО, 2008.  120с.

Рецензенты:

Д.т.н., зам.директора ИЗМИР АН А.Г. Коробейников



Учебное пособие “Вопросы технологии сертификации средств защиты информации“ предназначено для студентов обучающихся по специальности 090104.65 – “Комплексная защита объектов информатизации”(дисциплина: Технология сертификации средств защиты информации), состоит из пяти глав, введения, списка литературы, приложений и перечня контрольных вопросов по усвоению материала.

Настоящее учебное пособие рассматривает место сертификации в организационно-технические мероприятиях по защите классифицированных средств защиты информации. Информационный подход сочетает в себе методологические аспекты: понятия, определения, нормативые материалы, с одной стороны, и вопросы технологии сертификации по типу выбранного средства защиты информации, с другой.

 Санкт-Петербургский государственный университет информационных технологий,

механики и оптики,

2008

 Ю.А.Гатчин

З.Г.Симоненко,

2008

ОГЛАВЛЕНИЕ……………………………………………………………………..ВВЕДЕНИЕ

ГЛАВА 1.ОСНОВНЫЕ ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ

1.1.Организационно-технические мероприятия

1.2.Организационно-правовые мероприятия

ГЛАВА 2.КЛАССИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

2.1.Технические средства защиты информации

2.1.1.Технические средства защиты информации, включая средства контроля эффективности принятых мер защиты информации

2.1.1.9.Технические средства и системы в защищенном исполнении

2.1.1.10.Технические средства защиты специальных оперативно-технических мероприятий (специальных технических средств, предназначенных для негласного получения информации)

2.1.1.11.Технические средства защиты информации от несанкционированного доступа (НСД)

2.2.Программные средства

2.2.1.Программные средства защиты информации от НСД и программных закладок

2.2.2.Защищенные программные средства обработки информации

2.3.Программно-технические средства

2.3.1.Программно-аппаратные средства защиты информации

2.3.2.Средства криптографической защиты информации

ГЛАВА 3.СЕРТИФИКАЦИЯ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

3.1.Основные определения и понятия сертификации………………………......

3.2.Нормативно-правовое обеспечение сертификации технических средств защиты информации

3.3.Типы сертификации

3.3.1. Добровольная сертификация

3.3.2.Обязательная сертификация

3.4.Порядок проведения сертификации средств защиты информации

3.4.1.Процедуры сертификации

3.4.2.Подача заявки на сертификацию и принятие решения по ней 3.4.3.Отбор, идентификация образцов и проведение испытаний СЗИ

3.4.4.Предварительная проверка производства

3.4.5. Экспертиза результатов сертификационных испытаний

3.4.6.Выдача сертификата соответствия

3.4.7.Выдача лицензии на применение знака соответствия и его применение

3.4.8.Инспекционный контроль за сертифицированными СЗИ

3.4.9.Корректирующие мероприятия при нарушениях

3.4.10.Продление срока действия сертификата соответствия

3.4.11. Правовая ответственность участников сертификации

ГЛАВА 4.НОРМАТИВНАЯ БАЗА СЕРТИФИКАЦИИ ПРОРАММНЫХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

4.1. Основные положения «Системы сертификации ГОСТ-Р» 4.1.1.Определение программного продукта.

4.1.2. Основные понятия, цели и принципы Системы

4.2. Положение Испытательного центра программных средств

4.2.1.Структура, функции ИЦ ПС

4.2.2. Права ИЦ ПС

4.2.3.Обязанности ИЦ ПС

ГЛАВА 5.СЕРТИФИКАЦИЯ ПРОГРАММНО-ТЕХНИЧЕСКИХ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ

5.1.Сертификация программных и технических средств защиты

информации в автоматизированных системах и средствах

вычислительной техники

5.1.1. Классификация АС

5.1.2. Порядок приемки и сертификации защищенных СВТ общего и специального назначения, в том числе программных и технических

средств и систем защиты информации от НСД

5.2.Средства криптографической защиты информации

5.2.1.Нормативно-правовая база лицензирования и сертификации

средств криптографической защиты информации

5.2.2.Порядок разработки, сертификации, внедрения и эксплуатации

средств криптографической защиты информации от НСД

ЛИТЕРАТУРА……………………………………………………………………

ПРИЛОЖЕНИЯ…………………………………………………………………

ПЕРЕЧЕНЬ КОНТРОЛЬНЫХ ВОПРОСОВ ПО УСВОЕНИЮ МАТЕРИАЛА



ВВЕДЕНИЕ

Безопасность системного средства может быть оценена с двух совершенно различных (некоррелированных между собой) позиций. С одной стороны, безопасность системного средства может быть охарактеризовано достигаемым им уровнем функциональной безопасности.

Уровень функциональной безопасности системного средства может быть определен только путем экспертного оценивания реализованных в нем технологий и решений по защите информации.

Данный подход широко используется на практике в нашей стране и за рубежом. В частности, именно уровень функциональной безопасности системного средства и определяется при его сертификации по требованиям (в части выполнения соответствующего набора требований) информационной безопасности.

С другой стороны, в конечном счете, для потребителя интерес представляет не только некая гипотетическая экспертная оценка эффективности механизмов защиты, основанная на анализе архитектурных решений, а, в первую очередь, эксплуатационная безопасность системных средств – реальный уровень безопасности, обеспечиваемый системным средством в процессе его практической эксплуатации, т.к. только на основании результатов практического использования средства и может быть дана объективная оценка его эффективности.

Интерес этой оценки обусловливается и тем, что при ее формировании могут быть учтены и такие параметры эффективности, не связанные с архитектурными решениями, как качество разработки системного средства и его технической поддержки производителем. Напрашивается вывод, что сертификация (или оценка эффективности) системных средств по требованиям информационной безопасности должна быть комплексной, позволяющей учитывать достигаемый им уровень функциональной и эксплуатационной безопасности.

Сертификация по требованиям информационной безопасности является важнейшим этапом создания средства защиты информации, либо защищенного системного средства. Это обусловливается тем, что именно процедура сертификации призвана дать объективную (по крайней мере, максимально к средствам защиты в соответствующих приложениях) оценку эффективности средства защиты.

Именно наличие сертификата, соотносящего заявляемые разработчиком возможности средства защиты, с определенными требованиями, в большой мере (а в некоторых случаях, практически в полном объеме) определяет эти возможности, являясь необходимым или достаточным, условием использования той или иной технологии.

Учебное пособие “Вопросы технологии сертификации средств защиты информации“ предназначено для студентов обучающихся по специальности 090104.65 – “Комплексная защита объектов информатизации”(дисциплина: Технология сертификации средств защиты информации),состоит из пяти глав, введения, списка литературы, приложений и перечня контрольных вопросов по усвоению материала.

Учебное пособие предназначено для рассмотрения места стандартизации в организационных мероприятиях по повышению качества и эффективности использования классифицированных средств защиты информации, применения современных технологий к задачам сертификации.

Учебное пособие направлено на подготовку студента к получению профессиональных знаний о проблемах повышения эффективности защиты информации в области методов стандартизации и сертификации технических средств, освоению прогрессивных технологий и технических средств, ГОСТов, ОСТов. Стержневыми задачами изучения материалов данного пособия являются: термины и определения по сертификации, сертификату соответствия, системе сертификации, стандарту, стандартизации, техническому регулированию, техническому регламенту, видам и типам государственных испытани, а также усвоение студентами основных законов и нормативной документации по сертификации рассмотренных в пособии средств защиты информации.



ГЛАВА 1.ОСНОВНЫЕ ОРГАНИЗАЦИОННЫЕ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления (в соответствии с Федеральным законом от 20.02.1995 г. № 24-ФЗ, по ГОСТ 51275-99).

Информационная среда с огромным количеством информации играет все возрастающую роль в обеспечении безопасности всех сфер жизнедеятельности общества, поэтому защита информации является одним из важных направлений деятельности государства.

В 80-е годы, защита линий связи и автоматизированных систем становится важной задачей компетентных государственных органов ряда стран.Так, к примеру, в США Закон Соединенных Штатов "Об обеспечении безопасности ЭВМ" № HR 145, принятый Конгрессом в мае 1987 года, устанавливает приоритет национальных интересов при решении вопросов безопасности информации (в том числе и частной).

Защита информации - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п. (по ГОСТ Р 50922-96).

Основные задачи защиты информации включают в себя:

1. Проведение единой политики, организация и координация работ по защите информации в оборонной, экономической, политической, научно-технической и других сферах деятельности.

2. Исключение или существенное затруднение добывания информации средствами разведки.

3. Предотвращение утечки информации по техническим каналам и несанкционированного доступа к ней.

4. Предупреждение вредоносных воздействий на информацию, ее носителей, а также технические средства ее создания, обработки, использования, передачи и защиты.

5. Принятие правовых актов, регулирующих общественные отношения в области защиты информации.

6. Анализ состояния и прогнозирование возможностей технических средств разведки, а также способов их применения.

7. Формирование системы информационного обмена сведениями об осведомленности иностранных разведок о силах, методах, средствах и мероприятиях, обеспечивающих защиту информации внутри страны и за ее пределами.

8. Организация сил, разработка научно обоснованных методов, создание средств защиты информации и контроля за ее эффективностью.

9. Контроль состояния защиты информации в органах государственной власти, учреждениях, организациях и на предприятиях всех форм собственности, использующих в своей деятельности охраняемую законом информацию.

Целями защиты информации являются:

1. Соблюдение конфиденциальности информации ограниченного доступа.

2. Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к такой информации.

3. Предотвращение несанкционированных действий по уничтожению, модификации, копированию, блокированию и предоставлению информации, а также иных неправомерных действий в отношении такой информации.

4. Реализация конституционного права граждан на доступ к информации.

5. Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование.

Объект защиты – это информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации

Перечисленные задачи и цели защиты информации выявляют возможность осуществления защиты информации с помощью основных организационных мероприятий.

Организационное мероприятие - это мероприятие по защите информации, проведение которого не требует применения специально разработанных технических средств.

Основную задачу организационных мероприятий можно сформулировать как невозможность изменения условий применения системы защиты, учтенных при формировании требований к системе при ее реализации.

Исходя из этого, основные организационные мероприятия складываются из организационно-технических и организационно-правовых мероприятий.

Преимущества организационных мероприятий состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия, имеют неограниченные возможности модификации и развития.

К недостаткам относятся: высокая зависимость от субъективных факторов, в том числе, от общей организации работы в конкретном подразделении.

1.1.Организационно-технические мероприятия

Техническое мероприятие - это мероприятие по защите информации, предусматривающее применение специальных технических средств, а также реализацию технических решений.

Основные организационно-технические мероприятия включают в себя:

1. Лицензирование деятельности предприятий в области защиты информации.

2. Аттестование объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями соответствующей степени секретности.

3. Сертификация средств защиты информации и контроля за ее эффективностью, систем и средств информатизации и связи в части защищенности информации от утечки по техническим каналам.

4. Категорирование вооружения и военной техники, предприятий (объектов) по степени важности защиты информации в оборонной, экономической, политической, научно-технической и других сферах деятельности.

5. Обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений.

6. Оповещение о пролетах космических и воздушных летательных аппаратов, кораблях и судах, ведущих разведку объектов (перехват информации, подлежащей защите), расположенных на территории России.

7. Введение территориальных, частотных, энергетических, пространственных и временных ограничений в режимах использования технических средств, подлежащих защите.

8. Создание и применение информационных и автоматизированных систем управления в защищенном исполнении.

9. Разработка и внедрение технических решений и элементов защиты информации при создании и эксплуатации вооружения и военной техники, при проектировании, строительстве (реконструкции) и эксплуатации объектов, систем и средств информатизации и связи.

10. Разработка средств защиты информации и контроля за ее эффективностью (специального и общего применения) и их использование.

11. Применение специальных методов, технических мер и средств защиты, исключающих перехват информации, передаваемой по каналам электросвязи.

1.2.Организационно-правовые мероприятия

Организационно-правовые мероприятия включают в себя деятельность перечисляемых субъектов системы защиты информации в Российской Федерации:

Палаты Федерального Собрания:

- осуществляют законодательное регулирование отношений в сфере защиты информации;

- рассматривают статьи федерального бюджета в части средств, направляемых на реализацию государственных программ в этой области;

определяют полномочия должностных лиц в аппаратах палат Федерального Собрания по обеспечению защиты государственной тайны в палатах Федерального Собрания.

Президент Российской Федерации:

утверждает государственные программы в области защиты информации;

  • утверждает по представлению Правительства Российской Федерации состав, структуру межведомственной комиссии по защите государственной тайны и положение о ней;

  • утверждает по представлению Правительства Российской Федерации Перечень должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к государственной тайне, а также Перечень сведений, отнесенных к государственной тайне;

  • заключает международные договоры России о совместном использовании и защите сведений, составляющих государственную тайну;

  • определяет полномочия должностных лиц по обеспечению защиты информации в своей Администрации;

  • в пределах своих полномочий решает иные вопросы, возникающие в связи с отнесением сведений к тому или иному виду тайны, их засекречиванием или рассекречиванием и их защитой.

Правительство Российской Федерации:

организует исполнение Законов и международных соглашений в области защиты информации;

представляет на утверждение Президенту состав и структуру межведомственной комиссии по защите государственной тайны, а также положение о ней;

представляет на утверждение Президенту Перечень должностных лиц органов государственной власти, наделяемых полномочиями по отнесению сведений к тому или иному виду тайны;

организует разработку и выполнение государственных программ в области защиты информации;

определяет полномочия должностных лиц по обеспечению защиты информации в аппарате Правительства;

устанавливает размеры и порядок предоставления льгот гражданам, допущенным к государственной тайне на постоянной основе, и сотрудникам структурных подразделений по защите государственной тайны;

устанавливает порядок определения размеров ущерба, наступившего в результате несанкционированного распространения сведений, составляющих государственную тайну, а также ущерба, наносимого собственнику информации в результате ее засекречивания;

заключает межправительственные соглашения, принимает меры по выполнению международных договоров России о совместном использовании и защите сведений, составляющих государственную тайну, принимает решения о возможности передачи их носителей другим государствам;

в пределах своих полномочий решает иные вопросы, возникающие в связи с отнесением сведений к тому или иному виду тайны, их засекречиванием или рассекречиванием и их защитой.

Органы государственной власти Российской Федерации, органы государственной власти субъектов Российской Федерации и органы местного самоуправления во взаимодействии с органами защиты государственной тайны, расположенными в пределах соответствующих территорий:

обеспечивают защиту переданных им другими органами государственной власти, предприятиями, учреждениями и организациями охраняемой законом информации, а также сведений, засекречиваемых ими;

обеспечивают защиту государственной тайны на подведомственных им предприятиях, в учреждениях и организациях в соответствии с требованиями законодательства Российской Федерации;

обеспечивают в пределах своей компетенции проведение проверочных мероприятий в отношении граждан, допускаемых к тайне;

реализуют предусмотренные законодательством меры по ограничению конституционных прав граждан и предоставлению льгот лицам, имеющим либо имевшим доступ к сведениям, составляющим государственную тайну;

вносят в полномочные органы государственной власти предложения по совершенствованию системы защиты информации.

Органы судебной власти:

рассматривают уголовные и гражданские дела о нарушениях законодательства в области защиты информации;

обеспечивают судебную защиту граждан, органов государственной власти, предприятий, учреждений и организаций в связи с их деятельностью по защите охраняемой законом информации;

обеспечивают в ходе рассмотрения указанных дел защиту отдельных видов тайны;

определяют полномочия должностных лиц по обеспечению защиты охраняемой законом информации в органах судебной власти.

Межведомственная комиссия по защите государственной тайны - это коллегиальный орган, координирующий работу по защите информации в Российской Федерации.

Органы федеральной исполнительной власти:

К ним относятся:

Федеральная служба безопасности (ФСБ – /), Министерство обороны (МО – /),

Министерство внутренних дел (МВД – /);

Служба внешней разведки (СВР – www.),

Федеральная служба охраны (ФСО),

Федеральная служба по техническому и экспортному контролю (ФСТЭК России – / – бывшая Гостехкомиссия при Президенте РФ).

Федеральная служба по техническому и экспортному контролю (ФСТЭК России) – федеральный орган исполнительной власти, осуществляющий реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам.

ФСТЭК России является органом защиты государственной тайны, наделенным полномочиями по распоряжению сведениями, составляющими государственную тайну и организует деятельность государственной системы противодействия техническим разведкам и технической защиты информации и руководит ею.



Скачать документ

Похожие документы:

  1. Указатель каталогов и описаний

    Библиографический указатель
    Рецензенты: ученый секретарь, зав. отделом теории и современных проблем книговедения Научного центра исследований истории книжной культуры при НПО Издательства «Наука» РАН, канд.

Другие похожие документы..