logo search
Лекции_Информационная безопасность

18.5Требования к безопасности информационных систем в России

Руководящие документы (в некоторой степени аналогичные разработанным NCSC) в области защиты информации разработаны Государственной технической комиссией при Президенте Российской Федерации. Требования всех документов обязательны для исполнения только в государственном секторе, либо коммерческими организациями, которые обрабатывают информацию, содержащую государственную тайну. Для остальных коммерческих структур документы носят рекомендательный характер.

Здесь мы кратко рассмотрим содержание только одного из документов, отражающих требования по защите информации от несанкционированного доступа. Полное название документа такое «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации».

В этом документе приведена классификация автоматизированных систем на классы по условиям их функционирования с точки зрения защиты информации в целях разработки и применения обоснованных мер по достижению требуемого уровня безопасности.

Устанавливается девять классов защищенности, каждый из которых характеризуется определенной минимальной совокупностью требований по защите.

Классы подразделяются на три группы, отличающиеся особенностями обработки информации. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и следовательно, иерархия классов защищенности. Рассмотрим показатели каждой из групп.

Третья группа включает системы, в которых работает один пользователь, допущенный ко всей информации, размещенной на носителях одного уровня конфиденциальности. Группа содержит два класса — ЗБ и ЗА.

Вторая группа включает системы, в которых пользователи имеют одинаковые права (полномочия) ко всей информации, обрабатываемой и (или) хранимой на носителях различного уровня конфиденциальности. Группа содержит два класса — 2Б и 2А.

Первая группа включает многопользовательские системы, в которых одновременно обрабатывается и (или) хранится информация разных уровней конфиденциальности. Группа содержит пять классов, 1Д, 1Г, 1В, 1Б и 1А.

В общем плане защитные мероприятия охватывают четыре подсистемы:

— управления доступом;

— регистрации и учета;

— криптографической;

— обеспечения целостности.