Класи захисту інформації, Захист інформації

Стандарт ISO 15408, який описує критерії оцінки безпеки, був новим етапом у реалізації нормативної бази оцінки безпеки ІТ. На основі цього стандарту кожна держава адаптувала його під свої реалії та тенденції.

Класи захищеності для засобів обчислювальної техніки

класи

Згідно з нормативним документом «Кошти обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники захищеності від несанкціонованого доступу до інформації можна виділитисім класівзахищеності засобів обчислювальної техніки (СВТ) від НСД до інформації. Найвищий клас – перший, найнижчий – сьомий. Класи діляться на 4 групи, які відрізняються між собою якісним рівнем безпеки:

  • Четверта група - характеризується верифікованим захистом і містить лише перший клас
  • Третя група характеризується мандатним захистом і містить 4,3 та 2 класи
  • Друга група характеризується дискреційним захистом і містить 6 та 5 класи.
  • Перша група має лише 7 клас

Залежно від грифу секретності інформації в АС системі, розташування об'єктів та умов реалізації обирають певний клас захищеності. У таблиці 1 показано перелік показників за класами захищеності СВТ. Позначення:

  • » - «: немає вимоги до класу
  • » + «: нові або додаткові вимоги
  • » = «: вимоги збігаються з вимогами попереднього класу

Зазначені набори вимог до показників кожного класу ємінімально потрібними.Сьомий класприсвоюють до тих СВТ, до яких вимоги щодо захисту інформації від НСД є нижчими за рівні шостого класу.

Класи захищеностідля автоматизованих систем

Автоматизовані системи

Нормативною базою є документ «Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем та вимоги щодо захисту інформації. Класифікація автоматизованих систем та вимоги щодо захисту інформації» . Диференція підходу до визначення засобів і методів захисту ґрунтується на оброблюваній інформації, складі АС, структурі АС, якісному та кількісному складі користувачів та обслуговуючого персоналу. Головнимиетапами класифікації АСє:

  • Створення та аналіз вихідних даних
  • пошук основних ознак АС, необхідні класифікації
  • аналіз виявлених ознак
  • присвоєння АС певного класу захисту

До основних параметрів визначення класу захищеності АС належать:

  • рівень конфіденційності інформації в АС
  • рівень повноважень суб'єктів доступу АС до конфіденційної інформації
  • режим обробки інформації в АС (колективний чи індивідуальний)

Виділяють дев'ять класів захищеності АС від НСД до інформації. Кожен клас має мінімальний набір вимог щодо захисту. Класи можна кластеризувати на 3 групи. Кожна група має власну ієрархію класів.

  • Третя група визначає роботу одного користувача допущеного до всіх даних АС, розміщеної на носіях одного рівня конфіденційності. Група має два класи - 3Б і 3А
  • Друга група - визначає роботу користувачів, які мають однакові права доступу до всіх даних АС, що зберігається та (або) обробляється на носіях різного рівня конфіденційності. Група має два класи - 2Б і 2А
  • Перша група -визначає розраховані на багато користувачів АС, де одночасно зберігається і (або) обробляються дані різних рівнів конфіденційності і не всі користувачі мають доступ до неї. Група має п'ять класів 0 1Д, 1Г, 1В, 1Б, 1А

Вимоги до АС щодо захисту інформації від НСД

Заходи щодо ЗІ від НСД потрібно реалізовувати разом із заходами щодо спеціального захисту засобів обчислювальної техніки (СВТ) та систем зв'язку від технічних методів розвідки та промислового шпигунства.

Позначення до таблиць:

  • » — «: немає вимог до поточного класу
  • » + «: є вимоги до поточного класу