Европейские Критерии без-ти ИТ.

Задачи ср-в ИБ: 1)защ инфы от несанкц доступа с целью обеспеч конфид-ти 2) обеспеч целостности инфы посредством защ от её несанкц модиф-ии или уничт 3) обесп работосп-ти сист с пом противодействия угрозам отказа в обслуж-ии. Для признанности эфф-ти методов защ треб-ся определ-ая степень уверенности в правильности их выбора и над-ти функц-ия. Для решения этой пробл в «Европ критериях» ввод-ся понятие адекватн-ти ср-в защ. Адекватность вкл: - эффективность (опр-ся соотв м/ду ср-ми без-ти и решаемыми задачами – их функц полнотой и согласованностью, простотой исп-ия) - корректность (правильн и надёжн-ть реализации ор-ий без-ти). Специфик ф защиты предлаг рассм с т. зр след треб: 1 идентиф и аутентиф; - упр-ие доступом; - подотчётность; - аудит; - повторное исп-ие об; - целостность инф; - надежн обслуж; - безопасн обмена данными. Треб без-ти обмена данными регламентир работу ср-в, обеспеч без-ть данных, передаваемых по каналам связи, и вкл след разделы: аутентиф, упр доступом, конфид данных, целостность данных, невозможн отказаться от соверш действий. Набор ф без-ти может специфицир-ся с исп-ем ссылок на заранее определённые классы – шаблоны. 10 кл, 5 из них (F-C1, F-C2, F-B1, F-B2, F-B3) соотв Кл без-ти «ор книги» с аналогичн обознач. F-IN – для сист с высокими потребностями в обеспеч целостности, что типично для сист упр-ия БД. F-AV хар-ся повышенными треб к обеспеч работосп-ти. F-DI ориент на распределённые сист обраб инфы. F-DC уделяет особое внимание треб-ям к конфид-ти передаваемой инф.F-DX повыш треб к целостн и к конфид-ти инфы. Ур без-ти: Без-ть счит-ся базовой, если ср-ва защ способны противостоять отдельн случайным атакам. Средней, если ср-ва защ способны противост злоумышленникам, облад-им огранич-ми ресурсами и возможн-ми. Высокой, если есть уверенность, что ср-ва защ м.б преодолены только злоумышленником с выс квалиф-ей, набор возможностей и ресурсов кот выходит за рамки возможного.

ФЕДЕР КРИТЕРИИ БЕЗ-ТИ И Т. (1992)

Д.б заменить «Ор кн». Основн об применения треб- без-ти Федер критериев, явл-ся: - продукты ИТ – сов-ть аппаратн и/или прогр ср-в, кот представл собой поставляемому потребителю гото-вое к исп ср-во обраб инфы. - сист обраб инфы – сов-ть ИТ-продуктов, объедин в функционально полный комплекс, предназн для решения прикладн задач. Ключ.понятие – профиль защ. Профиль защ – нормативн док, кот регламентир все аспекты без-ти ИТ-продукта в виде требований к его проектир-ию, технологии разработки и квалиф анализ. Осн внимание удел-ся требо-ваниям к составу ср-в защ и кач-ву их реализации, их адекватности предполаг угрозам без-ти. Федер Крит представл процесс разраб систем обраб инфы, начинающийся с формулирования требований потребителями и заканчив-ся введением в экспл, в виде след этапов: 1)разраб и анализ профиля защ 2)разраб и квалифик анализ ИТ-продуктов 3)компановка и сертификация системы обраб инф в целом. Профиль защ сост из разделов: 1)описание 2)обоснование 3)функц-ые требования к ит-продуктам 4) треб к технологии разраб ит-прод 5)треб к процессу ква-лификац анализа ит-прод

КАНАДСКИЕ КРИТЕРИИ БЕЗ-ТИ КОМП СИСТЕМ.

Создан 1993г. «Канадские кр-ии..» разраб как основа для оценки эфф-ти ср-в обеспечения без-ти комп систем. «Канадские кр-ии..» явились 1ым стандартом ИБ, в кот на уровне структуры докум функц треб к ср-вам защ отделены от требований адекватности и кач-ва реализации политики без-ти. Функц треб к ср-вам защиты четко структурированы и описывают все аспекты функц-ия ядра без-ти. Требования к адекватности реализации политики без-ти, впервые появившиеся в виде отдельного раздела, позволяют опр-ть степень доверия к ср-ам защиты обеспечения без-ти.

ЕДИНЫЕ КРИТЕРИИ БЕЗ-ТИ ИТ.

Созд в 1996-1999гг. «Единые критерии» (ЕК) сохр-ют совместимость с сущ-ми стандартами и развивают их путём введения новых концепций, соответ новому ур развития ИТ и интеграций нац-ых ИС в единое мировое инф простр-во.В 1999 принято в кач-ве международного стандарта инф без-ти. Определение безопасных понятий ЕК. Задачи защиты – базовое понятие ЕК, выраж-ее потреб-ть потребителей ИТ-продукта в без-ти или в необходимости реализации политики без-ти. Профиль защиты – спец нормативный док, представл-ий собой сов-ть задач защ, функц-ых треб-ий, треб-ий адекватности и их обоснований. Служит руководством для разработчика ИТ-продукта при созд проекта защиты. Проект защ – спец нормативный док, представл собой сов-сть задач защ, функц-ых треб-ий, треб-ий адекватности, общих спецификаций ср-в защиты и их обоснование. В ходе квалифик анализа служит в кач-ве описания ИТ-продукта. Квалифик анализ может осущ-ся как параллельно с разраб-кой ИТ-продукта, так и после её завершения.Для проведения квалифик анализа разработчик продукта должен представить след материалы:– Профиль защиты, списывающ название ИТ-продукта и хар-щий среду его экспл-ии, а также устанавливающ задачи защ и треб-ие, кот должен отвечать продукт. – Проект защиты, вкл спец-ии ср-в защиты, а также соотв ИТ-продукта задачам защ из профиля защ и указанным в нём требованиям ЕК. – Различные обоснования и подтверждение св-в и возможностей ИТ-продукта, полученные разработчиком. – Сам ИТ-продукт. – Дополн сведения, получ путём проведения разл независимых экспетриз. стадии процесса квал-го анализа: Анализ профиля защиты на предмет его полноты, непротиворечивости, реализуемости и возможности исп-я в кач-ве набора треб-ий для анализируемого продукта. Анализ проекта защиты на предмет его соот-я треб-ий «профиля защиты», а также полноты, непротиворечивости, реализуемости и возможн-ти ис-ия в кач-ве эталона при анализе ИТ-продукта. Анализ ИТ- продукта на предмет соответствия «проекту защиты». Профиль защиты (структура): Введение, описание ИТ - продукта, среда эксплуатации, задачи защ, треб-ия без-ти, дополн сведения, обоснование. Проект защиты (структура): Введение, описание ИТ - продукта, среда эксплуатации, задачи защиты, треб-ия без-ти, общие спецификации ИТ – продукта, заявка на соответствие «профилю защиты», обоснование.

ЗАКОН «О ГОС ТАЙНЕ».

Ст 2: Основн понятия используемые в законе. гос. тайна –защищаемые гос-вом сведения в области его военной, внешнеполит, экон-ой, развед-ной, контрразвед-ой и оперативно-розыскной деят-ти распростр кот может нанести ущерб без-и РФ. Сист защиты гос. Тайны - сов-ть органов защ гос. тайны, исп-ых ими ср-в и методы защ сведений, составляющих гос. тайну, и их носителей, а также мероприятий проводимых в этих целях. Гриф секретности - реквизиты свидетельств-ие о степени секретности сведений, содерж-ся в их носителе, проставляемых на самом носителе и /или в сопровод-ой докум-ии на него. Ср-ва защ инф - техн-е криптогр-е, прогр-ые и др. ср-ва предназн-ые для защ сведений составл-х гос. тайну, ср-ва в кот они реализованы, а также ср-ва контроля эфф-ти защ инф. Ст 5. Перечень сведений, составляющих гос. тайну. -Свед-я в военной обл. сведения в обл. экономики, науки и техники.-Св-я в обл.внешн политики и экономики. –Св-я в обл. развед-ой, контрразв-ой и оперативно-розыскной д-ти. -О фактах наруш прав и свобод человека и гражданина;-О размерах золотого запаса и гос валютных резервах РФ;-О состоянии здоровья высших должностных лиц РФ;-О фактах наруш законности органами гос власти и их должностными лицами. Ст. 8. Степени секретности свед и грифы секретности носителей этих свед. Ст. 9. Порядок отнесения сведений к гос тайне. Ст. 10. Огранич прав собственности предприятий, учреждений, организ-ий и граждан РФ на инф в связи с её засекречиванием. Ст. 11. Порядок засекречив свед и их носителей.

Ст. 22. Основания для отказа должностному лицу или гражданину в допуске к гос. тайне. Основания для отказа:-Признание судом его недеесп, ограничено деесп или рецидивистом, нахожд его под судом или следствием за гос и иные тяжкие преступл, наличие у него неснятой судимости за эти преступл.-Наличие у него мед противопоказаний для работы с исп-ем сведений, составляющ гос тайну, согласно перечню -Постоянное проживание его самого и/или его близких родств за границей и/или оформление указанными лицами докум для выезда на постоянное жит-во в др. гос-во.

-Выявление в результате проверочных мероприятий действий оформляемого лица, создающих угрозу РФ.

-Уклонение его от проверочных меропр и/или сообщ им заведомо ложных анкетных данных.

ФЕДЕР ЗАКОН «ОБ ИНФЕ, ИТ И О ЗАЩИТЕ ИНФЫ».(27 ИЮНЯ 2006Г)

Ст1. Сфера действия настоящ федер закона.1. регулирует отнош, возникающие при:* осущ права на поиск, получ, передачу, пр-во и распр-ие инфы * применении ИТ * обеспеч защ инф. 2. положение не распр на отнош, возник при правовой охр рез-тов интелл деят-ти и приравн к ним ср-в индивидуализации. Ст2. Осн понятии, исп в законе: 1) инф - сведения независимо от формы их представления; 2) ИТ - процессы, методы поиска, сбора, хранения, обраб-ки, предоставления, распростр инф и способы осущ-ия таких процессов и методов;3) ИС – сов-ть содержащейся в БД инф и обеспечивающих ее обраб-ку ИТ и техн ср-в; 4) инф-телекомм сеть – технол-ая сист, предназнач для передачи по линиям связи инф, доступ к кот осущ-ся с исп-ем ср-в выч техники;5) обладатель инф - лицо, сам-но создавшее инф либо получившее на основании закона или договора право разрешать или ограничивать доступ к инф, определяемой по каким-либо признакам; 6) доступ к инф - возможность получ инф и ее исп-ия;7) конфиденц-ть инф - обязательное для выполнения лицом, получившим доступ к определенной инф, треб не передавать такую инф 3им лицам без согласия ее обладателя; Ст8. Право на доступ к инф.1. Граждане (физ лица) и организации (юр лица) вправе осущ-ть поиск и получ любой инф в любых формах и из любых источников при усл соблюд треб-ий, устан Фед законами.3. Не м.б. ограничен доступ к: 1) нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устан правовое положение организаций и полномочия гос органов, органов местного самоупр; 2) инфы о состоянии окруж среды; 3) инфы, накапливаемой в открытых фондах библ, музеев и архивов; Ст16. Защита инфы 1. Защита инфы представляет собой принятие правовых, организационных и технических мер, направленных на: 1) обесп защ инф от неправомерного доступа, уничтож, модиф-ия, блокир-ия, копир-ия, предоставления, распр-ия, а также от иных неправомерных действий в отнош такой инф; 2) соблюдение конфид-ти инф ограниченного доступа, 3) реализ права на доступ к инфе. Обладатель инфы, оператор ИС в случаях, устан законодат-ом обязаны обеспечить: 1) предотвр несанкц-ого доступа к инфе и (или) передачи ее лицам, не имеющим права на доступ к инфе; 2) своевременное обнаружение фактов несанкц доступа к инфе; 3) предупр-ие возможн-и неблагопр последств нарушения порядка доступа к инфе; 4) недопущение возд-ия на тех ср-ва обработки инфы, в результате кот нарушается их функц-ие; 5) возможность незамедл-ого восстан-ия инфы, модиф-ой или уничтоженной вследствие несанкц доступа к ней; 6) пост контроль за обеспечением уровня защищ-ти инфы.