Тема 19: Рекомендации по выбору средств защиты от НСД

На выбор средств защиты информации оказывают влияние потребности организации в определенном уровне защищенности автоматизированной системы, количество компьютеров, их основные технические характеристики, применяемые операционные системы и т.п.

Потребности организации в некотором уровне защищенности автоматизированной системы можно определить, воспользовавшись руководящими документами Гостехкомиссии России, классифицирующими АС по уровням требований к защите ("Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации").

При выборе соответствующих уровню защищенности АС конкретных средств защиты необходимо пользоваться руководящим документом Гостехкомиссии России "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности СВТ".

Защищенность СВТ есть потенциальная защищенность, т.е. способность их предотвращать или существенно затруднять НСД к информации в дальнейшем при использовании СВТ в составе АС. Защита СВТ обеспечивается комплексом программно-технических средств.

Защита АС обеспечивается комплексом программно-технических средств и поддерживающих их организационных мер.

Эти требования выражаются в показателях защищенности. Совокупность значений показателя защищенности определяет класс защищенности АС или СВТ. Существует 9 классов защищенности АС, объединенные в 3 группы и 6 классов защищенности СВТ.

Основные требования Гостехкомиссии России к защищенности АС сведены в таблицу 3.19.1, СВТ - в таблицу 3.19.2.

Распределение показателей защищенности по классам АС

Таблица 3 .19.1

Подсистемы и требования

К лассы

1 . Подсистема управления доступом

1.1. Идентификация, проверка подлинности и контроль доступа субъектов:

• в систему

+

+

+

+

+

• к терминалам. ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ

-

+

+

+

+

• к программам

-

+

+

+

+

• к томам, каталогам, файлам, записям, полям записей

-

+

+

+

+

1.2. Управление потоками информации

-

-

+

+

+

2. Подсистема регистрации и учета

2. 1. Регистрация и учет:

• входа (выхода) субъектов доступа в (из) систему (узел сети)

+

+

+

+

+

• выдачи печатных (графических) выходных документов

-

+

+

+

+

• запуска (завершения) программ и процессов (заданий, задач)

-

+

+

+

+

• доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам

СВЯЗИ

-

+

+

+

+

• доступа программ субъектов доступа к терминалам ЭВМ, узлам сети ЭВМ каналам связи, внешним устройствам ЭВМ. программам, томам, каталогам, файлам, записям, полям записей

-

+

+

+

+

• изменения полномочий субъектов доступа

-

-

+

+

+

• создаваемых защищаемых объектов доступа

-

-

+

+

+

2.2. Учет носителей информации

+

+

+

+

+

2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей

-

+

+

+

+

2.4. Сигнализация попыток нарушения защиты

-

-

+

+

+

3. Криптографическая подсистема

3.1. Шифрование конфиденциальной информации

-

-

-

+

+

3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах

-

-

-

-

+

3..3. Использование аттестованных (сертифицированных) криптографических средств

-

-

-

+

+

4. Подсистема обеспечения целостности

4.1. Обеспечение целостности программных средств и обрабатываемой информации

+

+

+

+

+

4.2. Физическая охрана средств вычислительной техники и носителей информации

+

+

+

+

+

4.3. Наличие администратора (службы) защиты информации в АС

-

-

+

+

+

4.4. Периодическое тестирование СЗИ НСД

+

+

+

+

+

4.5. Наличие средств восстановления СЗИ НСД

+

+

+

+

+

4.6. Использование сертифицированных средств защиты

-

-

+

+

+

Требования РД Гостехкомиссии РФ к СЗИ НСД

Таблица 3.19.2

Наименование показателя

Класс защищенности

6

5

4

3

2

1

1 . Дискреционный принцип контроля доступа

+

+

+

=

+

=

2. Мандатный принцип контроля доступа

-

-

+

=

=

3. Очистка памяти

-

+

+

+

4. Изоляция модулей

-

-

+

=

+

=

5. Маркировка документов

-

-

+

=

6. Защита ввода и вывода на отчуждаемый физический носитель информации

-

-

+

=

7. Сопоставление пользователя с устройством

-

-

+

8. Идентификация и аутентификация

+

=

+

=

=

9. Гарантии проектирования

-

+

+

+

+

+

10. Регистрация

-

+

+

+

=

=

11 . Взаимодействие пользователя с КСЗ

-

-

-

+

=

12. Надежное восстановление

-

-

-

+

=

13. Целостность КСЗ

-

+

+

+

=

14. Контроль модификации

-

-

-

-

+

=

15. Контроль дистрибуции

-

-

-

-

+

=

16. Гарантии архитектуры

-

-

-

-

-

+

17. Тестирование

+

+

+

+

+

18. Руководство пользователя

+

=

19. Руководство по КСЗ

+

+

+

+

=

20. Тестовая документация

+

+

+

+ <;/p>

+

21. Конструкторская (проектная) документация

+

+

+

+

+

+

Обозначения:

"-" - нет требований к данному классу

"+" - новые или дополнительные требования

"—" - требования совпадают с требованиями к СВТ предыдущего класса.

Сокращения:

КСЗ -комплекс средств защиты

Сертифицированные Гостехкомиссией России СЗИ НСД

Всего за последние 5-7 лет Гостехкомиссией России было сертифицировано несколько десятков систем защиты компьютеров от НСД. Из них в настоящее время можно приобрести не более десятка продуктов (пояснение: «+» - поддерживается, «н/д» - нет данных).

Продукт

Производитель

Операционная система

M S DOS

Windows 3.1X

Windows 95

Windows 98

Windows NT

UNIX

Secret Net 3. Х

ЗАО НИП "Информзащита"

+

+

+

Secret Net NT 1.0

ЗАО НИП "Информзащита"

+

Secret Net 4.0

ЗАО НИП "Информзащита"

+

+

+

+

Dallas Lock 3.11

ООО " Конфидент "

+

+

Dallas Lock 4.0

ООО " Конфидент "

+

Dallas Lock 4.11

ООО " Конфидент "

+

Dallas Lock 5.0

ООО " Конфидент "

+

Аккорд

ОКБ САПР

+

+

+

ЭЗ

ЭЗ

ЭЗ

Марс

Российский центр «Безопасность»

+

+

Рубеж

'ЗАО Инфокрипт, ОКБ САПР

+

Криптон-Вето

ООО Фирма «Анкад»

+

+

Кобра

ЦСПР "Спектр"

+

+

Спектр- Z

ЦСПР "Спектр", ЗАО Инфокрипт

+

SVINKA - U

ЗАО "Релком-Альфа"

+

н/д

При выборе системы защиты следует оценить ее функциональность, соответствие возможностей требованиям к защите ресурсов АС конкретной организации и стоимость Для повышения обоснованности выбора целесообразно учесть состояние и перспективы развития парка компьютеров, подлежащих защите, применяемых операционных систем и другого программного обеспечения, задачи, решаемые персоналом с применением АС в различных сферах деятельности организации.

Применительно к продуктам семейства Secret Net , если в организации применяются в основном компьютеры под управлением MS ( PC ) DOS / Windows 3.x и Windows 95/98. то оптимальным выбором будет версия 3.1 системы защиты. Для обеспечения возможности использования сетевой версии этой системы необходим выделенный под размещение сервера Nowell NetWare компьютер с процессором от 80386 с 4 - 8 Mb оперативной памяти и 500 Mb на жестком диске. Если в организации используются компьютеры под управлением операционных систем Windows NT 4.0, Windows 95/98, UNIX -серверы . то целесообразно использовать Secret Net версии 4.0 для гетерогенных сетей.

Состав средств аппаратной поддержки определяется исходя из требований к стойкости системы защиты и использования персональных электронных идентификаторов для идентификации и аутентификации пользователей.