Добавлен: 18.06.2023
Просмотров: 46
Скачиваний: 2
Уровень C- произвольное управление доступом.
Подкласс C1: политика безопасности для данного подкласса должны удовлетворять следующим важнейшим требованиям:
1. вычислительная база управляет доступом именованных пользователей к именованным объектам;
2. пользователи должны идентифицировать себя, а аутентификационная информация должна быть защищена от несанкционированного доступа;
3. вычислительная база поддерживает область для собственного выполнения, защищенная от внешних воздействий;
4. должны быть в наличии аппаратные и программные средства, которые периодически проверяют корректность функционирования аппаратных и программных компонентов вычислительной базы;
5. защитные механизмы должны быть протестированы;
6. должен быть описан подход к безопасности и его применение при реализации вычислительной базы.
В пример можно привести некоторые старые версии UNIX , IBM RACF.
Подкласс C2: создан как дополнение к подклассу С1 и обладает следующими требованиями:
1. все объекты должны подвергаться контролю доступа.
2. при выделении хранимого объекта из ресурсов вычислительной базы необходимо ликвидировать все следы его использования.
3. каждый пользователь системы должен уникальным образом идентифицироваться и каждое регистрируемое действие должно ассоциироваться с конкретным пользователем.
4. вычислительная база должна создавать, поддерживать и защищать журнал регистрационной информации, которая непосредственно относится к доступу к объектам, контролируемым базой.
5. тестирование должно подтвердить отсутствие очевидных недостатков в механизмах защиты информации.
Примеры продуктов: Windows NT, Windows 2000, Windows XP, Windows Server 2003, Windows XP Professional , Windows Vista.
Уровень B- принудительное управление доступом.
Подкласс B1: создан как дополнение к подклассу С2. К нему относятся требования:
1. вычислительная база управляет метками безопасности, ассоциируемыми с каждым субъектом и хранимым объектом.
2. вычислительная база должна обеспечить реализацию принудительного управления доступом всех субъектов ко всем хранимым объектам.
3. вычислительная база должна обеспечивать взаимную изоляцию процессов путем разделения их адресных пространств.
4. группа специалистов, должна подвергнуть описание архитектуры, исходные и объектные коды тщательному анализу и тестированию.
5. должна существовать формальная модель политики безопасности, поддерживаемая вычислительной базой.
К примерам можно отнести специализированные ОС: Cray Research Trusted Unicos 8.0, Digital SEVMS, SGI Trusted IRIX.
Подкласс B2: выступает как дополнение к подклассу B1:
1. снабжаются метками все ресурсы системы, прямо или косвенно доступные субъектам.
2. вычислительная база должна поддерживаться доверенным коммуникационный путем для пользователя, выполняющего операции начальной идентификации.
3. должна быть возможность регистрации событий, связанных с организацией тайных каналов обмена.
4. вычислительная база должна быть структурирована на хорошо определенные, независимые модули.
5. системный архитектор должен тщательно проанализировать возможности организации тайных каналов обмена и оценить максимальную пропускную способность каждого канала.
6. должна быть продемонстрирована устойчивость вычислительной базы к попыткам проникновения.
7. для вычислительной базы должны существовать спецификации верхнего уровня, точно определяющие ее интерфейс.
8. в процессе разработки и сопровождения вычислительной базы должна использоваться система конфигурационного управления, обеспечивающая контроль изменений в спецификациях верхнего уровня.
9. тесты должны подтверждать обоснованность мер по уменьшению пропускной способности тайных каналов передачи информации.
В пример подобного продукта можно поставить Honeywell Multics- предшественника современной UNIX и Trusted XENIX.
Подкласс B3: создан для дополнения подкласса B2. Дня него характерно:
1. произвольное управление доступом, которое должно обязательно использовать списки управления доступом с указанием разрешенных режимов.
2. должна быть предусмотрена возможность регистрации появления или накопления событий, несущих угрозу политике безопасности системы.
3. вычислительная база должна быть спроектирована и структурирована так, чтобы использовать полный и концептуально простой защитный механизм.
4. процедура анализа должна быть выполнена для временных тайных каналов.
5. должна быть специфицирована роль администратора безопасности так, чтобы получить права администратора безопасности можно было только после выполнения протоколируемых действий.
6. должны существовать процедуры или механизмы, позволяющие произвести восстановление после сбоя или иного нарушения работы без ослабления защиты.
7. должна быть протестирована устойчивость вычислительной базы к попыткам взлома.
Единственный пример такого продукта Getronics/Wang Federal XTS-300.
Уровень A - верифицируемая безопасность.
Подкласс A1: создан в дополнение к подклассу B3:
1. тестирование должно продемонстрировать, что реализация вычислительной базы соответствует спецификациям верхнего уровня.
2. должны быть представлены спецификации верхнего уровня, использоваться современные методы спецификации и верификации систем.
3. механизм конфигурационного управления должен распространяться на весь жизненный цикл, все компоненты системы, которые имеют отношение к обеспечению безопасности.
4. должно быть описано соответствие между спецификациями верхнего уровня и исходными текстами.
Примеры продуктов: Gemini Trusted Network Processor, Honeywell SCOMP.
2.3. Информационная безопасность Российской Федерации
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Интересы личности в сфере информационных технологий заключаются в реализации конституционных прав человека и гражданина на доступ к информации и использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.
Интересы общества в сфере информации заключаются в обеспечении интересов личности, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.
Интересы государства заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, для реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.
Существуют четыре основные составляющие национальных интересов Российской Федерации в сфере информационной безопасности.
Первая составляющая национальных интересов включает в себя соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.
Чтобы этого достигнуть, необходимо:
- повысить эффективность использования информационной инфраструктуры в интересах общественного развития, духовного возрождения многонационального народа Российской Федерации;
- усовершенствовать систему формирования, сохранения и использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала Российской Федерации;
- обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом;
- обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;
- укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;
- не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;
- обеспечить запрет на сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством.
Вторая составляющая национальных интересов Российской Федерации включает в себя информационное обеспечение государственной политики Российской Федерации, связанное с доведением до российской и международной общественности достоверной информации о государственной политике Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни, с обеспечением доступа граждан к открытым государственным информационным ресурсам.
Для достижения этого требуется:
- укреплять государственные средства массовой информации, расширять их возможности по своевременному доведению достоверной информации до российских и иностранных граждан.
Третья составляющая национальных интересов Российской Федерации в информационной сфере включает в себя развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов.
В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники. Россия должна занять достойное место среди мировых лидеров микроэлектронной и компьютерной промышленности. Для достижения этого требуется: развивать и совершенствовать инфраструктуру единого информационного пространства Российской Федерации.
Развивать отечественную индустрию информационных услуг и повышать эффективность использования государственных информационных ресурсов; Развивать производство в Российской Федерации конкурентоспособных средств и систем информатизации, телекоммуникации и связи, расширять участие России в международной кооперации производителей этих средств и систем. Обеспечить государственную поддержку отечественных фундаментальных и прикладных исследований, разработок в сферах информатизации, телекоммуникации и связи.
Четвертая составляющая национальных интересов Российской Федерации в информационной сфере включает в себя защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России. В этих целях необходимо: повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, финансово-кредитной и банковской сфер. Сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными и экономически важными производствами.
За последние годы в Российской Федерации реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности.
Начато формирование базы правового обеспечения информационной безопасности. Приняты Закон Российской Федерации "О государственной тайне", Основы законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах, федеральные законы "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", ряд других законов, развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере.