Засоби захисту інформації (СЗІ) та їх класифікація від ФСТЕК і ФСБ
- Засоби захисту інформації (СЗІ) та їх класифікація від ФСТЕК і ФСБ У вимогах з безпеки інформації...
- Розбираємося в термінології регуляторів
- Рівні контролю на відсутність декларованих можливостей (Стройтрест) в ПО засобів захисту інформації
- Класифікація захищеності засобів обчислювальної техніки
- Класифікація засобів захисту автоматизованих систем
- Класифікація міжмережевих екранів
- Класи захисту міжмережевих екранів
- Типи міжмережевих екранів
- Класифікація засобів захисту систем виявлення вторгнень
- Типи систем виявлення вторгнень
- Класифікація захищеності засобів антивірусного захисту інформації
- Типи засобів антивірусного захисту
- Класи захисту коштів довіреної завантаження
- Типи засобів довіреної завантаження
- Класи захисту засобів контролю знімних машинних носіїв
- Типи засобів контролю знімних машинних носіїв інформації
- Класи операційних систем для забезпечення захисту інформації
- Типи операційних систем, що використовуються з метою забезпечення захисту інформації
- Класифікація захищеності виробів інформаційних технологій
- Засоби захисту в інформаційних системах загального користування
- Види засобів криптографічного захисту інформації
- Класифікація криптографічних засобів захисту інформації
- Класифікація засобів захисту електронного підпису
- Висновки
- Засоби захисту інформації (СЗІ) та їх класифікація від ФСТЕК і ФСБ
- Вступ
- Розбираємося в термінології регуляторів
- Рівні контролю на відсутність декларованих можливостей (Стройтрест) в ПО засобів захисту інформації
- Класифікація захищеності засобів обчислювальної техніки
- Класифікація засобів захисту автоматизованих систем
- Класифікація міжмережевих екранів
- Класи захисту міжмережевих екранів
- Типи міжмережевих екранів
- Класифікація засобів захисту систем виявлення вторгнень
- Типи систем виявлення вторгнень
- Класифікація захищеності засобів антивірусного захисту інформації
- Типи засобів антивірусного захисту
- Класи захисту коштів довіреної завантаження
- Типи засобів довіреної завантаження
- Класи захисту засобів контролю знімних машинних носіїв
- Типи засобів контролю знімних машинних носіїв інформації
- Класи операційних систем для забезпечення захисту інформації
- Типи операційних систем, що використовуються з метою забезпечення захисту інформації
- Класифікація захищеності виробів інформаційних технологій
- Засоби захисту в інформаційних системах загального користування
- Види засобів криптографічного захисту інформації
- Класифікація криптографічних засобів захисту інформації
- Класифікація засобів захисту електронного підпису
- Висновки
- Засоби захисту інформації (СЗІ) та їх класифікація від ФСТЕК і ФСБ
- Вступ
- Розбираємося в термінології регуляторів
- Рівні контролю на відсутність декларованих можливостей (Стройтрест) в ПО засобів захисту інформації
- Класифікація захищеності засобів обчислювальної техніки
- Класифікація засобів захисту автоматизованих систем
- Класифікація міжмережевих екранів
- Класи захисту міжмережевих екранів
- Типи міжмережевих екранів
- Класифікація засобів захисту систем виявлення вторгнень
- Типи систем виявлення вторгнень
- Класифікація захищеності засобів антивірусного захисту інформації
- Типи засобів антивірусного захисту
- Класи захисту коштів довіреної завантаження
- Типи засобів довіреної завантаження
- Класи захисту засобів контролю знімних машинних носіїв
- Типи засобів контролю знімних машинних носіїв інформації
- Класи операційних систем для забезпечення захисту інформації
- Типи операційних систем, що використовуються з метою забезпечення захисту інформації
- Класифікація захищеності виробів інформаційних технологій
- Засоби захисту в інформаційних системах загального користування
- Види засобів криптографічного захисту інформації
- Класифікація криптографічних засобів захисту інформації
- Класифікація засобів захисту електронного підпису
- висновки
Засоби захисту інформації (СЗІ) та їх класифікація від ФСТЕК і ФСБ
У вимогах з безпеки інформації при проектуванні інформаційних систем вказуються ознаки, що характеризують застосовуються засоби захисту інформації. Вони визначені різними актами регуляторів в області забезпечення інформаційної безпеки, зокрема - ФСТЕК і ФСБ Росії. Які класи захищеності бувають, типи і види засобів захисту, а також де про це дізнатися докладніше, відображено в статті.
- Вступ
- Розбираємося в термінології регуляторів
- Рівні контролю на відсутність декларованих можливостей (Стройтрест) в ПО засобів захисту інформації
- Класифікація захищеності засобів обчислювальної техніки
- Класифікація засобів захисту автоматизованих систем
- Класифікація міжмережевих екранів
- Класифікація засобів захисту систем виявлення вторгнень
- Класифікація захищеності засобів антивірусного захисту інформації
- Класи захисту коштів довіреної завантаження
- Класи захисту засобів контролю знімних машинних носіїв
- Класифікація операційних систем для забезпечення захисту інформації
- Класифікація захищеності виробів інформаційних технологій
- Класифікація коштів криптографічного захисту інформації і (ЗКЗІ)
- Класифікація засобів захисту електронного підпису
- висновки
Вступ
Сьогодні питання забезпечення інформаційної безпеки є предметом пильної уваги, оскільки впроваджуються повсюдно технології без забезпечення інформаційної безпеки стають джерелом нових серйозних проблем.
Про серйозність ситуації повідомляє ФСБ Росії: сума збитку, нанесена зловмисниками за кілька років по всьому світу склала від $ 300 млрд до $ 1 трлн. За відомостями, представленим Генеральним прокурором РФ, тільки за перше півріччя 2017 року в Росії кількість злочинів у сфері високих технологій збільшилася в шість разів, загальна сума збитку перевищила $ 18 млн. Зростання цільових атак в промисловому секторі в 2017 р відзначений по всьому світу. Зокрема, в Росії приріст числа атак по відношенню до 2016 р склав 22%.
Інформаційні технології стали застосовуватися в якості зброї у військово-політичних, терористичних цілях, для втручання у внутрішні справи суверенних держав, а також для здійснення інших злочинів. російська Федерація виступає за створення системи міжнародної інформаційної безпеки.
На території Російської Федерації володарі інформації та оператори інформаційних систем зобов'язані блокувати спроби несанкціонованого доступу до інформації, а також здійснювати моніторинг стану захищеності ІТ-інфраструктури на постійній основі. При цьому захист інформації забезпечується за рахунок прийняття різних заходів, включаючи технічні.
Засоби захисту інформації, або СЗІ забезпечують захист інформації в інформаційних системах, по суті представляють собою сукупність інформації, що зберігається в базах даних інформації, інформаційних технологій, що забезпечують її обробку, і технічних засобів.
Для сучасних інформаційних систем характерне використання різних апаратно-програмних платформ, територіальна розподіленість компонентів, а також взаємодія з відкритими мережами передачі даних.
Як захистити інформацію в таких умовах? Відповідні вимоги висувають уповноважені органи, зокрема, ФСТЕК і ФСБ Росії. В рамках статті постараємося відобразити основні підходи до класифікації СЗІ з урахуванням вимог зазначених регуляторів. Інші способи опису класифікації СЗІ, відображені в нормативних документах російських відомств, а також зарубіжних організацій і агентств, виходять за рамки цієї статті і далі не розглядаються.
Стаття може бути корисна починаючим фахівцям в області інформаційної безпеки в якості джерела структурованої інформації про способи класифікації СЗІ на підставі вимог ФСТЕК Росії (більшою мірою) і, коротко, ФСБ Росії.
Структурою, яка визначає порядок і координуючої дії забезпечення некріптографіческімі методами ІБ, є ФСТЕК Росії (раніше - Державна технічна комісія при Президенті Російської Федерації, Гостехкомиссией).
Якщо читачеві доводилося бачити Державний реєстр сертифікованих засобів захисту інформації , Який формує ФСТЕК Росії, то він безумовно звертав увагу на наявність в описовій частині призначення СЗІ таких фраз, як «клас РД СВТ», «рівень відсутності НДВ» та ін. (Малюнок 1).
Малюнок 1. Фрагмент реєстру сертифікованих СЗІ
аналогічний перелік сертифікованих СЗІ підтримує і ФСБ Росії в рамках своєї компетенції. У ньому фігурують такі поняття, як «антивірусні засоби класу Б2», «засоби виявлення атак класу Б» та ін.
Далі постараємося розібратися в термінах, грунтуючись в першу чергу на нормативних актах вітчизняних регуляторів сфери інформаційної безпеки. І почнемо це опис з викладу використовуваної регуляторами термінології.
Розбираємося в термінології регуляторів
Проникаючи в систему, зловмисник долає вибудувану систему захисту інформації, здійснює несанкціонований доступ. Несанкціонованого доступу. ФСТЕК Росії під системою захисту інформації від несанкціонованого доступу розуміє сукупність заходів організаційного характеру і програмно-технічних СЗІ від НСД. Функціональність СЗІ від НСД повинна запобігати або істотно ускладнювати несанкціоноване проникнення в обхід правил розмежування доступу, реалізованих штатними засобами. Ці кошти входять до складу засобів обчислювальної техніки і автоматизованих систем у вигляді сукупності програмного і технічного забезпечення
При цьому, регулятор вважає, що державні кошти обчислювальної техніки є елементами, з яких будуються автоматизовані системи. Тому, не вирішуючи прикладних задач, СВТ не містять інформації користувачів. Сукупність вимог в частині захисту ЗОТ і АС утворюють т. Зв. клас захищеності.
Як СЗІ регулятором розглядаються т.зв. міжмережеві екрани - кошти, що реалізує контроль за інформацією, спрямованої в АС або виходить з неї. Міжмережеві екрани виконують фільтрацію інформації по заданим критеріям.
До СЗІ також відносять т.зв. засоби виявлення вторгнень. Вони являють собою кошти, що автоматизують процес контролю подій в системі (мережі) з проведенням аналізу цих подій з метою пошуках ознак інциденту ІБ.
Антивірусні СЗІ повинні виявляти і відповідним чином реагувати на кошти несанкціонованого знищення, блокування, модифікації, копіювання інформації або нейтралізації СЗІ.
В рамках реалізації заходів з управління доступом передбачено забезпечення так званої довіреної завантаження. Для цього застосовуються також відповідні СЗІ.
Заходи щодо захисту машинних носіїв інформації в частині забезпечення контролю за їх використанням реалізуються за допомогою засобів контролю знімних носіїв.
Рівні контролю на відсутність декларованих можливостей (Стройтрест) в ПО засобів захисту інформації
З огляду на, що будь-який СЗІ містить якийсь програмний код, то можна припустити, що він володіє функціональністю, що сприяє організації успішних атак відносно об'єктів, що захищаються. Такі можливості, не зазначені в документації або описані з спотворенням, використання яких може призвести до порушення ІБ, названі недекларірованних (далі - НДВ). В результаті, відносно СЗІ була поставлена задача по перевірці їх на відсутність в ньому НДВ.
Регулятор виділив 4 рівня контролю відсутності НДВ: перший - найвищий, а четвертий - нижчий (малюнок 2).
Малюнок 2. Класифікація за рівнем контролю на відсутність Стройтрест
Як показано на малюнку 2, якщо СЗІ призначене для захисту інформації з грифом секретності «особливої важливості», то воно повинно задовольняти вимогам, що пред'являються до 1 рівню контролю.
У разі захисту інформації з грифом секретності «цілком таємно», то програмне забезпечення застосовується СЗІ має пройти як мінімум другий рівень контролю.
Якщо гриф секретності інформації, що захищається «секретно», то відповідність вимогам по третьому рівню контролю буде достатнім.
Що стосується інформації обмеженого доступу, що не містить відомостей, що відносяться до державної таємниці, - достатнім рівнем контролю є найнижчий.
Класифікація захищеності засобів обчислювальної техніки
Тут регулятор визначив перелік класів захищеності, де перший вважається найвищим класом, а нижчим - сьомий. Класи захищеності розділені на групи (рисунок 3).
Малюнок 3. Класи захищеності засобів обчислювальної техніки
Перша група утворена 7 класом. Він встановлюється тим засобам обчислювальної техніки, які повинні містити механізми захисту від несанкціонованого доступу до інформації, але підсумкова захищеність їх нижче захищеності коштів 6-го класу.
Другу групу утворюють 6 і 5 класи захищеності. Вони відрізняються наявністю дискреційного управління доступом. Цей механізм дозволяє задавати правила доступу користувачів до різних ресурсів, таким як файл, програма та ін., В яких явно зазначено, що саме можна робити суб'єкту: читати вміст файлу, виконувати запуск програми і т. Д.
Утворюють третю групу 4, 3 і 2 класи відрізняються реалізацією мандатної управління доступом, заснованим на використанні класифікаційних міток. Вони дозволяють користувачам і ресурсів призначати т. Н. класифікаційні рівні, наприклад - категорії секретності оброблюваної інформації. Так, створюється ієрархічна структура, в якій користувач може отримати доступ до ресурсу в тому випадку, якщо його рівень у створеній ієрархії не нижче рівня ієрархії необхідного ресурсу. У разі не-ієрархічній структури в класифікаційний рівень користувача включають ті класифікаційні рівні ресурсів, доступ до яких цього користувачеві повинен бути забезпечений.
При цьому в цих засобах обчислювальної техніки присутній механізм дискреційного управління доступом: дискреційні правила служать доповненням мандатних.
А до складу четвертої групи входив тільки 1 клас, який характеризується наявністю верифицированной захисту. Реалізований механізм захисту повинен гарантовано забезпечувати перехоплення диспетчером доступу всіх звернень суб'єктів доступу до об'єктів.
Класифікація засобів захисту автоматизованих систем
всього виділено дев'ять класів, об'єднаних в групи (рисунок 4).
Малюнок 4. Класи захищеності автоматизованих систем
Класи 1 групи - 1Д, 1Г, 1В, 1Б і 1А. Вони характеризують системи, в яких працює кілька користувачів. Користувачі мають різні права доступу до інформації. Рівні конфіденційності інформації також різні.
У 2 групі - класи 2Б і 2А. У системах таких класів у користувачів рівні повноваження щодо всієї інформації. Сама ж інформація знаходиться на носіях різного рівня конфіденційності.
І, нарешті, 3 групу утворюють класи 3Б і 3А. У цьому випадку мова йде про одного користувача системах. Користувач допущений до всієї інформації. Рівень конфіденційності носіїв - однаковий.
Також визначено, що якщо АС працює з відомостями, віднесеними до держтаємниці, то клас системи не повинен бути нижче 3А, 2А, 1А, 1Б або 1В. При цьому, для класу захищеності:
- 1В повинні застосовуватися засоби обчислювальної техніки не нижче 4 класу;
- 1Б - не нижче 3 класу;
- 1А - не нижче 2 класу.
Класифікація міжмережевих екранів
В основі класифікації закладено розподіл за рівнями контролю міжмережевих інформаційних потоків (рисунок 5).
Малюнок 5. Класи захищеності міжмережевих екранів
Найвищий - 1-й клас. Він застосуємо, коли потрібно забезпечити безпечне взаємодія автоматизованих систем класу 1А із зовнішнім середовищем.
Якщо в автоматизованих системах класів 3А, 2А обробляється інформація з грифом «особливої важливості», то потрібно використовувати міжмережевий екран не нижче 1 класу.
Для захисту взаємодії із зовнішнім світом систем класу 1Б призначені міжмережеві екрани 2 класу. Якщо в системах класів 3А, 2А обробляється інформація з грифом «цілком таємно», необхідно використовувати міжмережеві екрани не нижче зазначеного класу.
Захист взаємодії систем класу 1В забезпечується міжмережевими екранами 3 класу. Якщо в автоматизованих системах класів 3А, 2А відбувається обробка інформації з грифом «секретно», буде потрібно міжмережевий екран не нижче 3 класу.
Міжмережеві екрани 4 класу потрібні в разі захисту взаємодії автоматизованих систем класу 1Г з зовнішнім середовищем.
Взаємодія систем класу 1Д повинні забезпечувати міжмережеві екрани 5 класу. Також потрібно використовувати їх не нижче зазначеного класу для автоматизованих систем класу 3Б і 2Б.
Класи захисту міжмережевих екранів
З 2016 року введена шестирівневу класифікація міжмережевих екранів (рисунок 6).
Малюнок 6. Класифікація міжмережевих екранів по класах захисту
За такого підходу, в інформаційних системах захист інформації, що містить відомості, віднесені до державної таємниці, повинна забезпечуватися за допомогою міжмережевих екранів 3, 2 і 1 класів захисту.
Що стосується інших випадків, то в державних інформаційних системах (ГІС) 1, 2 і 3 класів захисту потрібно використовувати міжмережеві екрани 4, 5 і 6 класів відповідно. Аналогічна ситуація щодо автоматизованих систем управління виробничими і технологічними процесами (далі - АСУ).
Для забезпечення 1 і 2 рівнів захищеності персональних даних в інформаційних системах персональних даних (ІСПДн) буде потрібно встановлювати міжмережеві екрани 4 і 5 класів відповідно. Якщо ж потрібно забезпечити 3 або 4 рівень захищеності персональних даних, то досить 6 класу захисту.
Регулятор також визначив необхідність використання міжмережевих екранів 4 класу для захисту інформації в інформаційних системах загального користування II класу.
Типи міжмережевих екранів
Регулятор виділяє міжмережеві екрани рівня:
- мережі (тип «А»);
- логічних меж мережі (тип «Б»);
- вузла (тип «В»);
- веб-сервера (тип «Г»);
- промислової мережі (тип «Д»).
Міжмережеві екрани типу «А» реалізується тільки в програмно-технічному виконанні. «Б», «Г» і «Д» можуть бути як у вигляді програмного продукту, так і в ПТІ. Виключно у вигляді програмного продукту реалізується міжмережеві екрани типу «В».
Міжмережеві екрани типу «А» встановлюють на фізичному периметрі інфомаційно систем. Якщо в них є кілька фізичних сегментів, то такий міжмережевий екран може встановлюватися між ними (малюнок 7).
Малюнок 7. Приклад розміщення міжмережевих екранів типу «А»
Міжмережеві екрани типу «Б» встановлюються на логічної кордоні інформаційних систем. Якщо в них виділяються логічні сегменти, то між ними також може бути встановлений міжмережевий екран даного типу (рисунок 8).
Малюнок 8. Приклад розміщення брандмауера класу «Б»
Для розміщення на мобільних або стаціонарних вузлах інформаційних систем призначені міжмережеві екрани типу «В».
Розбір http (s) -трафік між веб-сервером і клієнтом здійснюють міжмережеві екрани типу «Г». Вони встановлюються на сервері, що обслуговує веб-сайти (служби, додатки). Можлива установка на фізичної кордоні сегмента таких серверів.
З промисловими протоколами передачі даних працюють міжмережеві екрани типу «Д». Саме вони встановлюються в АСУ.
Класифікація засобів захисту систем виявлення вторгнень
З 2011 р використовується шестирівневу класифікація систем виявлення вторгнень (малюнок 9).
Малюнок 9. Класи захисту систем виявлення вторгнень
За цим підходом, захист інформаційних систем, в яких обробляється інформація, що містить відомості, віднесені до державної таємниці, забезпечується засобами виявлення вторгнень 3, 2 і 1 класів захисту.
У ІСПДн для забезпечення 3 і 4 рівнів захищеності персональних даних встановлюються системи виявлення вторгнень 6 класу. Забезпечення 1 і 2 рівнів захищеності персональних даних забезпечується застосуванням систем 4 і 5 класів захисту відповідно.
Захист державних систем при відсутності відомостей, що становлять державну таємницю, забезпечують системи виявлення вторгнень 4 класу захисту.
У разі інформаційних систем загального користування II класу слід застосовувати системи виявлення вторгнень 4 класу.
Типи систем виявлення вторгнень
Вимоги до функцій систем виявлення вторгнень відображені в розроблених ФСТЕК Росії профілях захисту. У специфікації профілів захисту виділяють системи виявлення вторгнень рівнів мережі і вузла.
Система рівня мережі підключається до комунікаційного обладнання (наприклад, комутатора) і контролює мережевий трафік, спостерігаючи за декількома мережевими вузлами.
Система рівня вузла встановлюється на вузол і проводить аналіз системних викликів, журналів роботи додатків і інших джерел вузла.
Класифікація захищеності засобів антивірусного захисту інформації
ФСТЕК Росії ввів шестирівневу класифікацію засобів антивірусного захисту. Ця система аналогічна класифікації для систем виявлення вторгнень, і її вигляд відповідає представленому на малюнку 9. Зокрема, захист систем, в яких обробляється інформація, що містить відомості, віднесені до державної таємниці, забезпечується засобами антивірусного захисту 3, 2 і 1 класів.
У ІСПДн для забезпечення 3 і 4 рівнів захищеності персональних встановлюються засоби антивірусного захисту 6 класу. Забезпечення 1 і 2 рівнів захищеності персональних даних забезпечується застосуванням засобів антивірусного захисту 4 і 5 класів захисту відповідно.
Захист державних інформаційних систем при відсутності відомостей, що становлять державну таємницю, забезпечують засоби антивірусного захисту 4 класу захисту.
Для систем загального користування II класу слід застосовувати засоби антивірусного захисту 4 класу.
Типи засобів антивірусного захисту
Регулятор виділяє кошти антивірусного захисту, призначені для централізованого адміністрування засобів антивірусного захисту, встановлених на компонентах інформаційних систем (тип «А»), а також - для застосування на:
- серверах (тип «Б»);
- автоматизованих робочих місцях (тип «В»);
- автономних автоматизованих робочих місцях (тип «Г»).
Класи захисту коштів довіреної завантаження
З 2013 р введена 6-рівнева класифікація засобів довіреної завантаження (рисунок 10).
Малюнок 10. Класи захисту коштів довіреної завантаження
При організації захисту ГІС 3 класу захищеності розглядають випадки наявності доступу до мереж міжнародного обміну і його відсутності. При наявності взаємодії повинні застосовуватися засоби довіреної завантаження 4 класу захисту. Засоби довіреної завантаження цього ж класу повинні використовуватися в ГІС 1 і 2 класів захищеності.
При відсутності взаємодії з мережами міжнародного інформаційного обміну ГІС 3 класу захищеності досить встановлювати СДЗ 5 класу.
Цей же клас достатньо в разі захисту ІСПДн, коли необхідно забезпечити 4 рівень захищеності персональних даних або 3-й - при відсутності взаємодії з мережами міжнародного інформаційного обміну.
Для забезпечення 1 і 2 рівнів захищеності персональних даних, а також 3-го -за наявності вказаного мережевої взаємодії або при актуальності загроз 2 типу потрібно установка засобів довіреної завантаження 4 класу.
Застосування засобів довіреної завантаження 4 класу досить для захисту інформаційних систем загального користування II класу.
Засоби довіреної завантаження 6 класу встановлюються, якщо вони не належать до ГІС, ІСПДн та інформаційних систем загального користування, а також в них відсутня обробка інформації, що містить відомості, віднесені до державної таємниці. Якщо ж вони «причетні» до держтаємниці - потрібно установка СДЗ 3, 2 або 1 класу захисту.
Типи засобів довіреної завантаження
Регулятор виділив кошти довіреної завантаження рівнів:
- базової системи введення-виведення;
- плати розширення;
- завантажувального запису.
Класи захисту засобів контролю знімних машинних носіїв
З 2014 році введена 6-рівнева класифікація засобів контролю знімних машинних носіїв. Вона в повній мірі аналогічна розглянутому вище випадку класифікації засобів довіреної завантаження (рисунок 10). Так само, при організації захисту ГІС 3 класу захищеності розглядають випадки наявності доступу до мереж міжнародного обміну і його відсутності. При наявності взаємодії повинні застосовуватися засоби контролю носіїв 4 класу захисту. Кошти цього ж класу повинні використовуватися в ГІС 1 і 2 класів захищеності.
При відсутності взаємодії з мережами міжнародного інформаційного обміну в ГІС 3 класу захищеності досить встановлювати засоби контролю знімних носіїв 5 класу.
Цей же клас даних СЗІ достатньо в разі захисту ІСПДн, коли необхідно забезпечити 4 рівень захищеності персональних даних або 3-й - при відсутності взаємодії з мережами міжнародного інформаційного обміну.
Для забезпечення 1 і 2 рівнів захищеності персональних даних, а також 3-го - при наявності вказаного мережевої взаємодії або при актуальності загроз 2 типу потрібно установка засобів контролю знімних носіїв 4 класу.
Застосування засобів контролю носіїв 4 класу досить для захисту інформаційних систем загального користування II класу.
Шостий клас даних СЗІ встановлюється, якщо вони не належать до ГІС, ІСПДн і ІС загального користування, а також в них відсутня обробка інформації, що містить відомості, віднесені до державної таємниці. Якщо ж вони «причетні» до держтаємниці - потрібно установка засобів контролю носіїв 3, 2 або 1 класу захисту.
Типи засобів контролю знімних машинних носіїв інформації
У відносинах них розрізняють засоби контролю:
- підключення знімних носіїв інформації;
- відчуження (перенесення) інформації зі знімних машинних носіїв.
Класи операційних систем для забезпечення захисту інформації
З 2016 році введена шестирівневу класифікація операційних систем, що використовуються для забезпечення захисту інформації (рисунок 11).
Малюнок 11. Класи захисту операційних систем
Використовуваний підхід класифікації аналогічний представленому раніше, зокрема, щодо міжмережевих екранів. Так, в інформаційних і автоматизованих системах захист інформації, що містить державну таємницю, повинна забезпечуватися за допомогою відповідних механізмів операційних систем 3, 2 і 1 класів захисту.
Для державних інформаційних систем 1, 2 і 3 класів захисту повинні використовуватися операційні системи 4, 5 і 6 класів відповідно. Аналогічна ситуація щодо АСУ.
Для забезпечення 1 і 2 рівнів захищеності персональних даних буде потрібно застосування операційних систем 4 і 5 класів відповідно. Якщо ж потрібно забезпечити 3 або 4 рівень захищеності персональних даних, то досить розгорнути операційну систему 6 класу захисту.
І, нарешті, необхідно використання операційних систем 4 класу для захисту інформації в ІС загального користування II класу.
Типи операційних систем, що використовуються з метою забезпечення захисту інформації
Розрізняють операційні системи:
- загального призначення (тип «А»);
- вбудовуються (тип «Б»);
- реального часу (тип «В»).
Системи типу «А» встановлюються на засоби обчислювальної техніки загального призначення, такі як АРМ, сервери, смартфони, планшети, телефони та інші.
Операційні системи типу «Б» встановлюються в спеціалізовані технічні засоби, вирішальні заздалегідь певні набори задач.
Системи типу «В» призначені для забезпечення реагування на події в рамках заданих часових обмежень при заданому рівні функціональності.
Класифікація захищеності виробів інформаційних технологій
В даний час проводиться впровадження системи оцінки відповідності на основі стандарту ДСТУ ISO / IEC 15408. У рамках цього стандарту виділяють т. Н. профіль захисту. Він являє собою сукупність вимог безпеки щодо певної категорії виробів ІТ, незалежну від реалізації.
Залежно від ступеня конфіденційності оброблюваної інформації визначені класи захищеності виробів ІТ. Так, при захисті інформації з грифом «особливої важливості» застосовуються вироби 1 класу. Для захисту інформації з грифом «цілком таємно» достатнім вважається 2 клас захищеності. Третій клас захищеності достатній при захисті інформації з грифом «секретно». А для захисту конфіденційної інформації будуть потрібні вироби ІТ як мінімум 4 класу захищеності.
Засоби захисту в інформаційних системах загального користування
За дорученням Уряду Російської Федерації розроблено Вимоги щодо захисту інформації в інформаційних системах загального користування. У них, зокрема, визначено такі види засобів захисту інформації, як СЗІ від неправомірних дій (в тому числі - засоби криптографічного захисту інформації), засоби виявлення шкідливих програм (в тому числі - антивірусні засоби), засоби контролю доступу до інформації (в тому серед них - засоби виявлення комп'ютерних атак), засоби фільтрації і блокування мережевого трафіку (в тому числі - кошти міжмережевого екранування). Використання таких СЗІ має забезпечити необхідний рівень захищеності.
Види засобів криптографічного захисту інформації
Засоби захисту інформації, що реалізує алгоритми криптографічного перетворення інформації, відносять до криптографічних засобів захисту інформації (згідно з ГОСТ Р 50922-2006). Розробка, виготовлення та поширення їх є ліцензованим видом діяльності. согласно Положення про ліцензування прийнято розрізняти:
- засоби шифрування;
- кошти імітозащіти;
- засоби електронного підпису;
- засоби кодування;
- засоби виготовлення ключових документів;
- ключові документи;
- апаратні шифрувальні (криптографічні) кошти;
- програмні шифрувальні (криптографічні) кошти;
- програмно-апаратні шифрувальні (криптографічні) кошти.
У першому випадку мова йде про криптографічних СЗІ, що забезпечують можливість розмежування доступу до неї. Засоби шифрування, в яких частина криптоперетворень здійснюється з використанням ручних операцій або автоматизованих засобів, призначених для виконання таких операцій, називають засобами кодування.
Електронні документи, що містять ключову інформацію, необхідну для виконання криптографічних перетворень за допомогою засобів шифрування, прийнято називати ключовими документами. Засоби шифрування, що забезпечують створення ключових документів, називають засобами виготовлення ключових документів.
Захист від нав'язування хибної інформації, можливість виявлення змін інформації за допомогою реалізованих в СЗІ криптографічних механізмів надають засоби імітозащіти.
Криптографічні СЗІ, що забезпечують створення електронного цифрового підпису з використанням закритого ключа, підтвердження з використанням відкритого ключа дійсності електронного цифрового підпису, створення закритих і відкритих ключів електронного цифрового підпису відносять до засобів електронного підпису.
Суть відмінностей останніх трьох видів шифрувальних засобів, зазначених вище, очевидно випливає з їхніх назв.
Більш докладну інформацію щодо криптографічних СЗІ, відображена в затвердженому ФСБ Росії документі « ПКЗ-2005 ».
Класифікація криптографічних засобів захисту інформації
ФСБ Росії визначені класи криптографічних СЗІ: КС1, КС2, КС3, КВ і КА.
До основних особливостей СЗІ класу КС1 відноситься їх можливість протистояти атакам, що проводяться з-за меж контрольованої зони. При цьому мається на увазі, що створення способів атак, їх підготовка та проведення здійснюється без участі фахівців в області розробки і аналізу криптографічних СЗІ. Передбачається, що інформація про систему, в якій застосовуються зазначені СЗІ, може бути отримана з відкритих джерел.
Якщо криптографічний СЗІ може протистояти атакам, що блокується засобами класу КС1, а також проводяться в межах контрольованої зони, то таке СЗІ відповідає класу КС2. При цьому допускається, наприклад, що при підготовці атаки могла стати доступною інформація про фізичних заходи захисту інформаційних систем, забезпечення контрольованої зони та ін.
У разі можливості протистояти атакам при наявності фізичного доступу до засобів обчислювальної техніки з установленими криптографічними СЗІ говорять про відповідність таких засобів класу КС3.
Якщо криптографічний СЗІ протистоїть атакам, при створенні яких брали участь фахівці в області розробки і аналізу зазначених коштів, в тому числі науково-дослідні центри, була можливість проведення лабораторних досліджень засобів захисту, то мова йде про відповідність класу КВ.
Якщо до розробки способів атак залучалися фахівці в галузі використання НДВ системного програмного забезпечення, була доступна відповідна конструкторська документація і був доступ до будь-яких апаратних компонентів криптографічних СЗІ, то захист від таких атак можуть забезпечувати засоби класу КА.
Класифікація засобів захисту електронного підпису
Засоби електронного підпису в залежності від здібностей протистояти атакам прийнято зіставляти з наступними класами: КС1, КС2, КС3, КВ1, КВ2 і КА1. Ця класифікація аналогічна розглянутої вище щодо криптографічних СЗІ.
Висновки
У статті були розглянуті деякі способи класифікації СЗІ в Росії, основу яких складає нормативна база регуляторів в області захисту інформації. Розглянуті варіанти класифікації не є вичерпними. Проте сподіваємося, що представлена зведена інформація дозволить швидше орієнтуватися починаючому фахівцеві в області забезпечення ІБ.
Засоби захисту інформації (СЗІ) та їх класифікація від ФСТЕК і ФСБ
У вимогах з безпеки інформації при проектуванні інформаційних систем вказуються ознаки, що характеризують застосовуються засоби захисту інформації. Вони визначені різними актами регуляторів в області забезпечення інформаційної безпеки, зокрема - ФСТЕК і ФСБ Росії. Які класи захищеності бувають, типи і види засобів захисту, а також де про це дізнатися докладніше, відображено в статті.
- Вступ
- Розбираємося в термінології регуляторів
- Рівні контролю на відсутність декларованих можливостей (Стройтрест) в ПО засобів захисту інформації
- Класифікація захищеності засобів обчислювальної техніки
- Класифікація засобів захисту автоматизованих систем
- Класифікація міжмережевих екранів
- Класифікація засобів захисту систем виявлення вторгнень
- Класифікація захищеності засобів антивірусного захисту інформації
- Класи захисту коштів довіреної завантаження
- Класи захисту засобів контролю знімних машинних носіїв
- Класифікація операційних систем для забезпечення захисту інформації
- Класифікація захищеності виробів інформаційних технологій
- Класифікація коштів криптографічного захисту інформації і (ЗКЗІ)
- Класифікація засобів захисту електронного підпису
- висновки
Вступ
Сьогодні питання забезпечення інформаційної безпеки є предметом пильної уваги, оскільки впроваджуються повсюдно технології без забезпечення інформаційної безпеки стають джерелом нових серйозних проблем.
Про серйозність ситуації повідомляє ФСБ Росії: сума збитку, нанесена зловмисниками за кілька років по всьому світу склала від $ 300 млрд до $ 1 трлн. За відомостями, представленим Генеральним прокурором РФ, тільки за перше півріччя 2017 року в Росії кількість злочинів у сфері високих технологій збільшилася в шість разів, загальна сума збитку перевищила $ 18 млн. Зростання цільових атак в промисловому секторі в 2017 р відзначений по всьому світу. Зокрема, в Росії приріст числа атак по відношенню до 2016 р склав 22%.
Інформаційні технології стали застосовуватися в якості зброї у військово-політичних, терористичних цілях, для втручання у внутрішні справи суверенних держав, а також для здійснення інших злочинів. російська Федерація виступає за створення системи міжнародної інформаційної безпеки.
На території Російської Федерації володарі інформації та оператори інформаційних систем зобов'язані блокувати спроби несанкціонованого доступу до інформації, а також здійснювати моніторинг стану захищеності ІТ-інфраструктури на постійній основі. При цьому захист інформації забезпечується за рахунок прийняття різних заходів, включаючи технічні.
Засоби захисту інформації, або СЗІ забезпечують захист інформації в інформаційних системах, по суті представляють собою сукупність інформації, що зберігається в базах даних інформації, інформаційних технологій, що забезпечують її обробку, і технічних засобів.
Для сучасних інформаційних систем характерне використання різних апаратно-програмних платформ, територіальна розподіленість компонентів, а також взаємодія з відкритими мережами передачі даних.
Як захистити інформацію в таких умовах? Відповідні вимоги висувають уповноважені органи, зокрема, ФСТЕК і ФСБ Росії. В рамках статті постараємося відобразити основні підходи до класифікації СЗІ з урахуванням вимог зазначених регуляторів. Інші способи опису класифікації СЗІ, відображені в нормативних документах російських відомств, а також зарубіжних організацій і агентств, виходять за рамки цієї статті і далі не розглядаються.
Стаття може бути корисна починаючим фахівцям в області інформаційної безпеки в якості джерела структурованої інформації про способи класифікації СЗІ на підставі вимог ФСТЕК Росії (більшою мірою) і, коротко, ФСБ Росії.
Структурою, яка визначає порядок і координуючої дії забезпечення некріптографіческімі методами ІБ, є ФСТЕК Росії (раніше - Державна технічна комісія при Президенті Російської Федерації, Гостехкомиссией).
Якщо читачеві доводилося бачити Державний реєстр сертифікованих засобів захисту інформації , Який формує ФСТЕК Росії, то він безумовно звертав увагу на наявність в описовій частині призначення СЗІ таких фраз, як «клас РД СВТ», «рівень відсутності НДВ» та ін. (Малюнок 1).
Малюнок 1. Фрагмент реєстру сертифікованих СЗІ
аналогічний перелік сертифікованих СЗІ підтримує і ФСБ Росії в рамках своєї компетенції. У ньому фігурують такі поняття, як «антивірусні засоби класу Б2», «засоби виявлення атак класу Б» та ін.
Далі постараємося розібратися в термінах, грунтуючись в першу чергу на нормативних актах вітчизняних регуляторів сфери інформаційної безпеки. І почнемо це опис з викладу використовуваної регуляторами термінології.
Розбираємося в термінології регуляторів
Проникаючи в систему, зловмисник долає вибудувану систему захисту інформації, здійснює несанкціонований доступ. Несанкціонованого доступу. ФСТЕК Росії під системою захисту інформації від несанкціонованого доступу розуміє сукупність заходів організаційного характеру і програмно-технічних СЗІ від НСД. Функціональність СЗІ від НСД повинна запобігати або істотно ускладнювати несанкціоноване проникнення в обхід правил розмежування доступу, реалізованих штатними засобами. Ці кошти входять до складу засобів обчислювальної техніки і автоматизованих систем у вигляді сукупності програмного і технічного забезпечення
При цьому, регулятор вважає, що державні кошти обчислювальної техніки є елементами, з яких будуються автоматизовані системи. Тому, не вирішуючи прикладних задач, СВТ не містять інформації користувачів. Сукупність вимог в частині захисту ЗОТ і АС утворюють т. Зв. клас захищеності.
Як СЗІ регулятором розглядаються т.зв. міжмережеві екрани - кошти, що реалізує контроль за інформацією, спрямованої в АС або виходить з неї. Міжмережеві екрани виконують фільтрацію інформації по заданим критеріям.
До СЗІ також відносять т.зв. засоби виявлення вторгнень. Вони являють собою кошти, що автоматизують процес контролю подій в системі (мережі) з проведенням аналізу цих подій з метою пошуках ознак інциденту ІБ.
Антивірусні СЗІ повинні виявляти і відповідним чином реагувати на кошти несанкціонованого знищення, блокування, модифікації, копіювання інформації або нейтралізації СЗІ.
В рамках реалізації заходів з управління доступом передбачено забезпечення так званої довіреної завантаження. Для цього застосовуються також відповідні СЗІ.
Заходи щодо захисту машинних носіїв інформації в частині забезпечення контролю за їх використанням реалізуються за допомогою засобів контролю знімних носіїв.
Рівні контролю на відсутність декларованих можливостей (Стройтрест) в ПО засобів захисту інформації
З огляду на, що будь-який СЗІ містить якийсь програмний код, то можна припустити, що він володіє функціональністю, що сприяє організації успішних атак відносно об'єктів, що захищаються. Такі можливості, не зазначені в документації або описані з спотворенням, використання яких може призвести до порушення ІБ, названі недекларірованних (далі - НДВ). В результаті, відносно СЗІ була поставлена задача по перевірці їх на відсутність в ньому НДВ.
Регулятор виділив 4 рівня контролю відсутності НДВ: перший - найвищий, а четвертий - нижчий (малюнок 2).
Малюнок 2. Класифікація за рівнем контролю на відсутність Стройтрест
Як показано на малюнку 2, якщо СЗІ призначене для захисту інформації з грифом секретності «особливої важливості», то воно повинно задовольняти вимогам, що пред'являються до 1 рівню контролю.
У разі захисту інформації з грифом секретності «цілком таємно», то програмне забезпечення застосовується СЗІ має пройти як мінімум другий рівень контролю.
Якщо гриф секретності інформації, що захищається «секретно», то відповідність вимогам по третьому рівню контролю буде достатнім.
Що стосується інформації обмеженого доступу, що не містить відомостей, що відносяться до державної таємниці, - достатнім рівнем контролю є найнижчий.
Класифікація захищеності засобів обчислювальної техніки
Тут регулятор визначив перелік класів захищеності, де перший вважається найвищим класом, а нижчим - сьомий. Класи захищеності розділені на групи (рисунок 3).
Малюнок 3. Класи захищеності засобів обчислювальної техніки
Перша група утворена 7 класом. Він встановлюється тим засобам обчислювальної техніки, які повинні містити механізми захисту від несанкціонованого доступу до інформації, але підсумкова захищеність їх нижче захищеності коштів 6-го класу.
Другу групу утворюють 6 і 5 класи захищеності. Вони відрізняються наявністю дискреційного управління доступом. Цей механізм дозволяє задавати правила доступу користувачів до різних ресурсів, таким як файл, програма та ін., В яких явно зазначено, що саме можна робити суб'єкту: читати вміст файлу, виконувати запуск програми і т. Д.
Утворюють третю групу 4, 3 і 2 класи відрізняються реалізацією мандатної управління доступом, заснованим на використанні класифікаційних міток. Вони дозволяють користувачам і ресурсів призначати т. Н. класифікаційні рівні, наприклад - категорії секретності оброблюваної інформації. Так, створюється ієрархічна структура, в якій користувач може отримати доступ до ресурсу в тому випадку, якщо його рівень у створеній ієрархії не нижче рівня ієрархії необхідного ресурсу. У разі не-ієрархічній структури в класифікаційний рівень користувача включають ті класифікаційні рівні ресурсів, доступ до яких цього користувачеві повинен бути забезпечений.
При цьому в цих засобах обчислювальної техніки присутній механізм дискреційного управління доступом: дискреційні правила служать доповненням мандатних.
А до складу четвертої групи входив тільки 1 клас, який характеризується наявністю верифицированной захисту. Реалізований механізм захисту повинен гарантовано забезпечувати перехоплення диспетчером доступу всіх звернень суб'єктів доступу до об'єктів.
Класифікація засобів захисту автоматизованих систем
всього виділено дев'ять класів, об'єднаних в групи (рисунок 4).
Малюнок 4. Класи захищеності автоматизованих систем
Класи 1 групи - 1Д, 1Г, 1В, 1Б і 1А. Вони характеризують системи, в яких працює кілька користувачів. Користувачі мають різні права доступу до інформації. Рівні конфіденційності інформації також різні.
У 2 групі - класи 2Б і 2А. У системах таких класів у користувачів рівні повноваження щодо всієї інформації. Сама ж інформація знаходиться на носіях різного рівня конфіденційності.
І, нарешті, 3 групу утворюють класи 3Б і 3А. У цьому випадку мова йде про одного користувача системах. Користувач допущений до всієї інформації. Рівень конфіденційності носіїв - однаковий.
Також визначено, що якщо АС працює з відомостями, віднесеними до держтаємниці, то клас системи не повинен бути нижче 3А, 2А, 1А, 1Б або 1В. При цьому, для класу захищеності:
- 1В повинні застосовуватися засоби обчислювальної техніки не нижче 4 класу;
- 1Б - не нижче 3 класу;
- 1А - не нижче 2 класу.
Класифікація міжмережевих екранів
В основі класифікації закладено розподіл за рівнями контролю міжмережевих інформаційних потоків (рисунок 5).
Малюнок 5. Класи захищеності міжмережевих екранів
Найвищий - 1-й клас. Він застосуємо, коли потрібно забезпечити безпечне взаємодія автоматизованих систем класу 1А із зовнішнім середовищем.
Якщо в автоматизованих системах класів 3А, 2А обробляється інформація з грифом «особливої важливості», то потрібно використовувати міжмережевий екран не нижче 1 класу.
Для захисту взаємодії із зовнішнім світом систем класу 1Б призначені міжмережеві екрани 2 класу. Якщо в системах класів 3А, 2А обробляється інформація з грифом «цілком таємно», необхідно використовувати міжмережеві екрани не нижче зазначеного класу.
Захист взаємодії систем класу 1В забезпечується міжмережевими екранами 3 класу. Якщо в автоматизованих системах класів 3А, 2А відбувається обробка інформації з грифом «секретно», буде потрібно міжмережевий екран не нижче 3 класу.
Міжмережеві екрани 4 класу потрібні в разі захисту взаємодії автоматизованих систем класу 1Г з зовнішнім середовищем.
Взаємодія систем класу 1Д повинні забезпечувати міжмережеві екрани 5 класу. Також потрібно використовувати їх не нижче зазначеного класу для автоматизованих систем класу 3Б і 2Б.
Класи захисту міжмережевих екранів
З 2016 року введена шестирівневу класифікація міжмережевих екранів (рисунок 6).
Малюнок 6. Класифікація міжмережевих екранів по класах захисту
За такого підходу, в інформаційних системах захист інформації, що містить відомості, віднесені до державної таємниці, повинна забезпечуватися за допомогою міжмережевих екранів 3, 2 і 1 класів захисту.
Що стосується інших випадків, то в державних інформаційних системах (ГІС) 1, 2 і 3 класів захисту потрібно використовувати міжмережеві екрани 4, 5 і 6 класів відповідно. Аналогічна ситуація щодо автоматизованих систем управління виробничими і технологічними процесами (далі - АСУ).
Для забезпечення 1 і 2 рівнів захищеності персональних даних в інформаційних системах персональних даних (ІСПДн) буде потрібно встановлювати міжмережеві екрани 4 і 5 класів відповідно. Якщо ж потрібно забезпечити 3 або 4 рівень захищеності персональних даних, то досить 6 класу захисту.
Регулятор також визначив необхідність використання міжмережевих екранів 4 класу для захисту інформації в інформаційних системах загального користування II класу.
Типи міжмережевих екранів
Регулятор виділяє міжмережеві екрани рівня:
- мережі (тип «А»);
- логічних меж мережі (тип «Б»);
- вузла (тип «В»);
- веб-сервера (тип «Г»);
- промислової мережі (тип «Д»).
Міжмережеві екрани типу «А» реалізується тільки в програмно-технічному виконанні. «Б», «Г» і «Д» можуть бути як у вигляді програмного продукту, так і в ПТІ. Виключно у вигляді програмного продукту реалізується міжмережеві екрани типу «В».
Міжмережеві екрани типу «А» встановлюють на фізичному периметрі інфомаційно систем. Якщо в них є кілька фізичних сегментів, то такий міжмережевий екран може встановлюватися між ними (малюнок 7).
Малюнок 7. Приклад розміщення міжмережевих екранів типу «А»
Міжмережеві екрани типу «Б» встановлюються на логічної кордоні інформаційних систем. Якщо в них виділяються логічні сегменти, то між ними також може бути встановлений міжмережевий екран даного типу (рисунок 8).
Малюнок 8. Приклад розміщення брандмауера класу «Б»
Для розміщення на мобільних або стаціонарних вузлах інформаційних систем призначені міжмережеві екрани типу «В».
Розбір http (s) -трафік між веб-сервером і клієнтом здійснюють міжмережеві екрани типу «Г». Вони встановлюються на сервері, що обслуговує веб-сайти (служби, додатки). Можлива установка на фізичної кордоні сегмента таких серверів.
З промисловими протоколами передачі даних працюють міжмережеві екрани типу «Д». Саме вони встановлюються в АСУ.
Класифікація засобів захисту систем виявлення вторгнень
З 2011 р використовується шестирівневу класифікація систем виявлення вторгнень (малюнок 9).
Малюнок 9. Класи захисту систем виявлення вторгнень
За цим підходом, захист інформаційних систем, в яких обробляється інформація, що містить відомості, віднесені до державної таємниці, забезпечується засобами виявлення вторгнень 3, 2 і 1 класів захисту.
У ІСПДн для забезпечення 3 і 4 рівнів захищеності персональних даних встановлюються системи виявлення вторгнень 6 класу. Забезпечення 1 і 2 рівнів захищеності персональних даних забезпечується застосуванням систем 4 і 5 класів захисту відповідно.
Захист державних систем при відсутності відомостей, що становлять державну таємницю, забезпечують системи виявлення вторгнень 4 класу захисту.
У разі інформаційних систем загального користування II класу слід застосовувати системи виявлення вторгнень 4 класу.
Типи систем виявлення вторгнень
Вимоги до функцій систем виявлення вторгнень відображені в розроблених ФСТЕК Росії профілях захисту. У специфікації профілів захисту виділяють системи виявлення вторгнень рівнів мережі і вузла.
Система рівня мережі підключається до комунікаційного обладнання (наприклад, комутатора) і контролює мережевий трафік, спостерігаючи за декількома мережевими вузлами.
Система рівня вузла встановлюється на вузол і проводить аналіз системних викликів, журналів роботи додатків і інших джерел вузла.
Класифікація захищеності засобів антивірусного захисту інформації
ФСТЕК Росії ввів шестирівневу класифікацію засобів антивірусного захисту. Ця система аналогічна класифікації для систем виявлення вторгнень, і її вигляд відповідає представленому на малюнку 9. Зокрема, захист систем, в яких обробляється інформація, що містить відомості, віднесені до державної таємниці, забезпечується засобами антивірусного захисту 3, 2 і 1 класів.
У ІСПДн для забезпечення 3 і 4 рівнів захищеності персональних встановлюються засоби антивірусного захисту 6 класу. Забезпечення 1 і 2 рівнів захищеності персональних даних забезпечується застосуванням засобів антивірусного захисту 4 і 5 класів захисту відповідно.
Захист державних інформаційних систем при відсутності відомостей, що становлять державну таємницю, забезпечують засоби антивірусного захисту 4 класу захисту.
Для систем загального користування II класу слід застосовувати засоби антивірусного захисту 4 класу.
Типи засобів антивірусного захисту
Регулятор виділяє кошти антивірусного захисту, призначені для централізованого адміністрування засобів антивірусного захисту, встановлених на компонентах інформаційних систем (тип «А»), а також - для застосування на:
- серверах (тип «Б»);
- автоматизованих робочих місцях (тип «В»);
- автономних автоматизованих робочих місцях (тип «Г»).
Класи захисту коштів довіреної завантаження
З 2013 р введена 6-рівнева класифікація засобів довіреної завантаження (рисунок 10).
Малюнок 10. Класи захисту коштів довіреної завантаження
При організації захисту ГІС 3 класу захищеності розглядають випадки наявності доступу до мереж міжнародного обміну і його відсутності. При наявності взаємодії повинні застосовуватися засоби довіреної завантаження 4 класу захисту. Засоби довіреної завантаження цього ж класу повинні використовуватися в ГІС 1 і 2 класів захищеності.
При відсутності взаємодії з мережами міжнародного інформаційного обміну ГІС 3 класу захищеності досить встановлювати СДЗ 5 класу.
Цей же клас достатньо в разі захисту ІСПДн, коли необхідно забезпечити 4 рівень захищеності персональних даних або 3-й - при відсутності взаємодії з мережами міжнародного інформаційного обміну.
Для забезпечення 1 і 2 рівнів захищеності персональних даних, а також 3-го -за наявності вказаного мережевої взаємодії або при актуальності загроз 2 типу потрібно установка засобів довіреної завантаження 4 класу.
Застосування засобів довіреної завантаження 4 класу досить для захисту інформаційних систем загального користування II класу.
Засоби довіреної завантаження 6 класу встановлюються, якщо вони не належать до ГІС, ІСПДн та інформаційних систем загального користування, а також в них відсутня обробка інформації, що містить відомості, віднесені до державної таємниці. Якщо ж вони «причетні» до держтаємниці - потрібно установка СДЗ 3, 2 або 1 класу захисту.
Типи засобів довіреної завантаження
Регулятор виділив кошти довіреної завантаження рівнів:
- базової системи введення-виведення;
- плати розширення;
- завантажувального запису.
Класи захисту засобів контролю знімних машинних носіїв
З 2014 році введена 6-рівнева класифікація засобів контролю знімних машинних носіїв. Вона в повній мірі аналогічна розглянутому вище випадку класифікації засобів довіреної завантаження (рисунок 10). Так само, при організації захисту ГІС 3 класу захищеності розглядають випадки наявності доступу до мереж міжнародного обміну і його відсутності. При наявності взаємодії повинні застосовуватися засоби контролю носіїв 4 класу захисту. Кошти цього ж класу повинні використовуватися в ГІС 1 і 2 класів захищеності.
При відсутності взаємодії з мережами міжнародного інформаційного обміну в ГІС 3 класу захищеності досить встановлювати засоби контролю знімних носіїв 5 класу.
Цей же клас даних СЗІ достатньо в разі захисту ІСПДн, коли необхідно забезпечити 4 рівень захищеності персональних даних або 3-й - при відсутності взаємодії з мережами міжнародного інформаційного обміну.
Для забезпечення 1 і 2 рівнів захищеності персональних даних, а також 3-го - при наявності вказаного мережевої взаємодії або при актуальності загроз 2 типу потрібно установка засобів контролю знімних носіїв 4 класу.
Застосування засобів контролю носіїв 4 класу досить для захисту інформаційних систем загального користування II класу.
Шостий клас даних СЗІ встановлюється, якщо вони не належать до ГІС, ІСПДн і ІС загального користування, а також в них відсутня обробка інформації, що містить відомості, віднесені до державної таємниці. Якщо ж вони «причетні» до держтаємниці - потрібно установка засобів контролю носіїв 3, 2 або 1 класу захисту.
Типи засобів контролю знімних машинних носіїв інформації
У відносинах них розрізняють засоби контролю:
- підключення знімних носіїв інформації;
- відчуження (перенесення) інформації зі знімних машинних носіїв.
Класи операційних систем для забезпечення захисту інформації
З 2016 році введена шестирівневу класифікація операційних систем, що використовуються для забезпечення захисту інформації (рисунок 11).
Малюнок 11. Класи захисту операційних систем
Використовуваний підхід класифікації аналогічний представленому раніше, зокрема, щодо міжмережевих екранів. Так, в інформаційних і автоматизованих системах захист інформації, що містить державну таємницю, повинна забезпечуватися за допомогою відповідних механізмів операційних систем 3, 2 і 1 класів захисту.
Для державних інформаційних систем 1, 2 і 3 класів захисту повинні використовуватися операційні системи 4, 5 і 6 класів відповідно. Аналогічна ситуація щодо АСУ.
Для забезпечення 1 і 2 рівнів захищеності персональних даних буде потрібно застосування операційних систем 4 і 5 класів відповідно. Якщо ж потрібно забезпечити 3 або 4 рівень захищеності персональних даних, то досить розгорнути операційну систему 6 класу захисту.
І, нарешті, необхідно використання операційних систем 4 класу для захисту інформації в ІС загального користування II класу.
Типи операційних систем, що використовуються з метою забезпечення захисту інформації
Розрізняють операційні системи:
- загального призначення (тип «А»);
- вбудовуються (тип «Б»);
- реального часу (тип «В»).
Системи типу «А» встановлюються на засоби обчислювальної техніки загального призначення, такі як АРМ, сервери, смартфони, планшети, телефони та інші.
Операційні системи типу «Б» встановлюються в спеціалізовані технічні засоби, вирішальні заздалегідь певні набори задач.
Системи типу «В» призначені для забезпечення реагування на події в рамках заданих часових обмежень при заданому рівні функціональності.
Класифікація захищеності виробів інформаційних технологій
В даний час проводиться впровадження системи оцінки відповідності на основі стандарту ДСТУ ISO / IEC 15408. У рамках цього стандарту виділяють т. Н. профіль захисту. Він являє собою сукупність вимог безпеки щодо певної категорії виробів ІТ, незалежну від реалізації.
Залежно від ступеня конфіденційності оброблюваної інформації визначені класи захищеності виробів ІТ. Так, при захисті інформації з грифом «особливої важливості» застосовуються вироби 1 класу. Для захисту інформації з грифом «цілком таємно» достатнім вважається 2 клас захищеності. Третій клас захищеності достатній при захисті інформації з грифом «секретно». А для захисту конфіденційної інформації будуть потрібні вироби ІТ як мінімум 4 класу захищеності.
Засоби захисту в інформаційних системах загального користування
За дорученням Уряду Російської Федерації розроблено Вимоги щодо захисту інформації в інформаційних системах загального користування. У них, зокрема, визначено такі види засобів захисту інформації, як СЗІ від неправомірних дій (в тому числі - засоби криптографічного захисту інформації), засоби виявлення шкідливих програм (в тому числі - антивірусні засоби), засоби контролю доступу до інформації (в тому серед них - засоби виявлення комп'ютерних атак), засоби фільтрації і блокування мережевого трафіку (в тому числі - кошти міжмережевого екранування). Використання таких СЗІ має забезпечити необхідний рівень захищеності.
Види засобів криптографічного захисту інформації
Засоби захисту інформації, що реалізує алгоритми криптографічного перетворення інформації, відносять до криптографічних засобів захисту інформації (згідно з ГОСТ Р 50922-2006). Розробка, виготовлення та поширення їх є ліцензованим видом діяльності. согласно Положення про ліцензування прийнято розрізняти:
- засоби шифрування;
- кошти імітозащіти;
- засоби електронного підпису;
- засоби кодування;
- засоби виготовлення ключових документів;
- ключові документи;
- апаратні шифрувальні (криптографічні) кошти;
- програмні шифрувальні (криптографічні) кошти;
- програмно-апаратні шифрувальні (криптографічні) кошти.
У першому випадку мова йде про криптографічних СЗІ, що забезпечують можливість розмежування доступу до неї. Засоби шифрування, в яких частина криптоперетворень здійснюється з використанням ручних операцій або автоматизованих засобів, призначених для виконання таких операцій, називають засобами кодування.
Електронні документи, що містять ключову інформацію, необхідну для виконання криптографічних перетворень за допомогою засобів шифрування, прийнято називати ключовими документами. Засоби шифрування, що забезпечують створення ключових документів, називають засобами виготовлення ключових документів.
Захист від нав'язування хибної інформації, можливість виявлення змін інформації за допомогою реалізованих в СЗІ криптографічних механізмів надають засоби імітозащіти.
Криптографічні СЗІ, що забезпечують створення електронного цифрового підпису з використанням закритого ключа, підтвердження з використанням відкритого ключа дійсності електронного цифрового підпису, створення закритих і відкритих ключів електронного цифрового підпису відносять до засобів електронного підпису.
Суть відмінностей останніх трьох видів шифрувальних засобів, зазначених вище, очевидно випливає з їхніх назв.
Більш докладну інформацію щодо криптографічних СЗІ, відображена в затвердженому ФСБ Росії документі « ПКЗ-2005 ».
Класифікація криптографічних засобів захисту інформації
ФСБ Росії визначені класи криптографічних СЗІ: КС1, КС2, КС3, КВ і КА.
До основних особливостей СЗІ класу КС1 відноситься їх можливість протистояти атакам, що проводяться з-за меж контрольованої зони. При цьому мається на увазі, що створення способів атак, їх підготовка та проведення здійснюється без участі фахівців в області розробки і аналізу криптографічних СЗІ. Передбачається, що інформація про систему, в якій застосовуються зазначені СЗІ, може бути отримана з відкритих джерел.
Якщо криптографічний СЗІ може протистояти атакам, що блокується засобами класу КС1, а також проводяться в межах контрольованої зони, то таке СЗІ відповідає класу КС2. При цьому допускається, наприклад, що при підготовці атаки могла стати доступною інформація про фізичних заходи захисту інформаційних систем, забезпечення контрольованої зони та ін.
У разі можливості протистояти атакам при наявності фізичного доступу до засобів обчислювальної техніки з установленими криптографічними СЗІ говорять про відповідність таких засобів класу КС3.
Якщо криптографічний СЗІ протистоїть атакам, при створенні яких брали участь фахівці в області розробки і аналізу зазначених коштів, в тому числі науково-дослідні центри, була можливість проведення лабораторних досліджень засобів захисту, то мова йде про відповідність класу КВ.
Якщо до розробки способів атак залучалися фахівці в галузі використання НДВ системного програмного забезпечення, була доступна відповідна конструкторська документація і був доступ до будь-яких апаратних компонентів криптографічних СЗІ, то захист від таких атак можуть забезпечувати засоби класу КА.
Класифікація засобів захисту електронного підпису
Засоби електронного підпису в залежності від здібностей протистояти атакам прийнято зіставляти з наступними класами: КС1, КС2, КС3, КВ1, КВ2 і КА1. Ця класифікація аналогічна розглянутої вище щодо криптографічних СЗІ.
Висновки
У статті були розглянуті деякі способи класифікації СЗІ в Росії, основу яких складає нормативна база регуляторів в області захисту інформації. Розглянуті варіанти класифікації не є вичерпними. Проте сподіваємося, що представлена зведена інформація дозволить швидше орієнтуватися починаючому фахівцеві в області забезпечення ІБ.
Засоби захисту інформації (СЗІ) та їх класифікація від ФСТЕК і ФСБ
У вимогах з безпеки інформації при проектуванні інформаційних систем вказуються ознаки, що характеризують застосовуються засоби захисту інформації. Вони визначені різними актами регуляторів в області забезпечення інформаційної безпеки, зокрема - ФСТЕК і ФСБ Росії. Які класи захищеності бувають, типи і види засобів захисту, а також де про це дізнатися докладніше, відображено в статті.
- Вступ
- Розбираємося в термінології регуляторів
- Рівні контролю на відсутність декларованих можливостей (Стройтрест) в ПО засобів захисту інформації
- Класифікація захищеності засобів обчислювальної техніки
- Класифікація засобів захисту автоматизованих систем
- Класифікація міжмережевих екранів
- Класифікація засобів захисту систем виявлення вторгнень
- Класифікація захищеності засобів антивірусного захисту інформації
- Класи захисту коштів довіреної завантаження
- Класи захисту засобів контролю знімних машинних носіїв
- Класифікація операційних систем для забезпечення захисту інформації
- Класифікація захищеності виробів інформаційних технологій
- Класифікація коштів криптографічного захисту інформації і (ЗКЗІ)
- Класифікація засобів захисту електронного підпису
- висновки
Вступ
Сьогодні питання забезпечення інформаційної безпеки є предметом пильної уваги, оскільки впроваджуються повсюдно технології без забезпечення інформаційної безпеки стають джерелом нових серйозних проблем.
Про серйозність ситуації повідомляє ФСБ Росії: сума збитку, нанесена зловмисниками за кілька років по всьому світу склала від $ 300 млрд до $ 1 трлн. За відомостями, представленим Генеральним прокурором РФ, тільки за перше півріччя 2017 року в Росії кількість злочинів у сфері високих технологій збільшилася в шість разів, загальна сума збитку перевищила $ 18 млн. Зростання цільових атак в промисловому секторі в 2017 р відзначений по всьому світу. Зокрема, в Росії приріст числа атак по відношенню до 2016 р склав 22%.
Інформаційні технології стали застосовуватися в якості зброї у військово-політичних, терористичних цілях, для втручання у внутрішні справи суверенних держав, а також для здійснення інших злочинів. російська Федерація виступає за створення системи міжнародної інформаційної безпеки.
На території Російської Федерації володарі інформації та оператори інформаційних систем зобов'язані блокувати спроби несанкціонованого доступу до інформації, а також здійснювати моніторинг стану захищеності ІТ-інфраструктури на постійній основі. При цьому захист інформації забезпечується за рахунок прийняття різних заходів, включаючи технічні.
Засоби захисту інформації, або СЗІ забезпечують захист інформації в інформаційних системах, по суті представляють собою сукупність інформації, що зберігається в базах даних інформації, інформаційних технологій, що забезпечують її обробку, і технічних засобів.
Для сучасних інформаційних систем характерне використання різних апаратно-програмних платформ, територіальна розподіленість компонентів, а також взаємодія з відкритими мережами передачі даних.
Як захистити інформацію в таких умовах? Відповідні вимоги висувають уповноважені органи, зокрема, ФСТЕК і ФСБ Росії. В рамках статті постараємося відобразити основні підходи до класифікації СЗІ з урахуванням вимог зазначених регуляторів. Інші способи опису класифікації СЗІ, відображені в нормативних документах російських відомств, а також зарубіжних організацій і агентств, виходять за рамки цієї статті і далі не розглядаються.
Стаття може бути корисна починаючим фахівцям в області інформаційної безпеки в якості джерела структурованої інформації про способи класифікації СЗІ на підставі вимог ФСТЕК Росії (більшою мірою) і, коротко, ФСБ Росії.
Структурою, яка визначає порядок і координуючої дії забезпечення некріптографіческімі методами ІБ, є ФСТЕК Росії (раніше - Державна технічна комісія при Президенті Російської Федерації, Гостехкомиссией).
Якщо читачеві доводилося бачити Державний реєстр сертифікованих засобів захисту інформації , Який формує ФСТЕК Росії, то він безумовно звертав увагу на наявність в описовій частині призначення СЗІ таких фраз, як «клас РД СВТ», «рівень відсутності НДВ» та ін. (Малюнок 1).
Малюнок 1. Фрагмент реєстру сертифікованих СЗІ
аналогічний перелік сертифікованих СЗІ підтримує і ФСБ Росії в рамках своєї компетенції. У ньому фігурують такі поняття, як «антивірусні засоби класу Б2», «засоби виявлення атак класу Б» та ін.
Далі постараємося розібратися в термінах, грунтуючись в першу чергу на нормативних актах вітчизняних регуляторів сфери інформаційної безпеки. І почнемо це опис з викладу використовуваної регуляторами термінології.
Розбираємося в термінології регуляторів
Проникаючи в систему, зловмисник долає вибудувану систему захисту інформації, здійснює несанкціонований доступ. Несанкціонованого доступу. ФСТЕК Росії під системою захисту інформації від несанкціонованого доступу розуміє сукупність заходів організаційного характеру і програмно-технічних СЗІ від НСД. Функціональність СЗІ від НСД повинна запобігати або істотно ускладнювати несанкціоноване проникнення в обхід правил розмежування доступу, реалізованих штатними засобами. Ці кошти входять до складу засобів обчислювальної техніки і автоматизованих систем у вигляді сукупності програмного і технічного забезпечення
При цьому, регулятор вважає, що державні кошти обчислювальної техніки є елементами, з яких будуються автоматизовані системи. Тому, не вирішуючи прикладних задач, СВТ не містять інформації користувачів. Сукупність вимог в частині захисту ЗОТ і АС утворюють т. Зв. клас захищеності.
Як СЗІ регулятором розглядаються т.зв. міжмережеві екрани - кошти, що реалізує контроль за інформацією, спрямованої в АС або виходить з неї. Міжмережеві екрани виконують фільтрацію інформації по заданим критеріям.
До СЗІ також відносять т.зв. засоби виявлення вторгнень. Вони являють собою кошти, що автоматизують процес контролю подій в системі (мережі) з проведенням аналізу цих подій з метою пошуках ознак інциденту ІБ.
Антивірусні СЗІ повинні виявляти і відповідним чином реагувати на кошти несанкціонованого знищення, блокування, модифікації, копіювання інформації або нейтралізації СЗІ.
В рамках реалізації заходів з управління доступом передбачено забезпечення так званої довіреної завантаження. Для цього застосовуються також відповідні СЗІ.
Заходи щодо захисту машинних носіїв інформації в частині забезпечення контролю за їх використанням реалізуються за допомогою засобів контролю знімних носіїв.
Рівні контролю на відсутність декларованих можливостей (Стройтрест) в ПО засобів захисту інформації
З огляду на, що будь-який СЗІ містить якийсь програмний код, то можна припустити, що він володіє функціональністю, що сприяє організації успішних атак відносно об'єктів, що захищаються. Такі можливості, не зазначені в документації або описані з спотворенням, використання яких може призвести до порушення ІБ, названі недекларірованних (далі - НДВ). В результаті, відносно СЗІ була поставлена задача по перевірці їх на відсутність в ньому НДВ.
Регулятор виділив 4 рівня контролю відсутності НДВ: перший - найвищий, а четвертий - нижчий (малюнок 2).
Малюнок 2. Класифікація за рівнем контролю на відсутність Стройтрест
Як показано на малюнку 2, якщо СЗІ призначене для захисту інформації з грифом секретності «особливої важливості», то воно повинно задовольняти вимогам, що пред'являються до 1 рівню контролю.
У разі захисту інформації з грифом секретності «цілком таємно», то програмне забезпечення застосовується СЗІ має пройти як мінімум другий рівень контролю.
Якщо гриф секретності інформації, що захищається «секретно», то відповідність вимогам по третьому рівню контролю буде достатнім.
Що стосується інформації обмеженого доступу, що не містить відомостей, що відносяться до державної таємниці, - достатнім рівнем контролю є найнижчий.
Класифікація захищеності засобів обчислювальної техніки
Тут регулятор визначив перелік класів захищеності, де перший вважається найвищим класом, а нижчим - сьомий. Класи захищеності розділені на групи (рисунок 3).
Малюнок 3. Класи захищеності засобів обчислювальної техніки
Перша група утворена 7 класом. Він встановлюється тим засобам обчислювальної техніки, які повинні містити механізми захисту від несанкціонованого доступу до інформації, але підсумкова захищеність їх нижче захищеності коштів 6-го класу.
Другу групу утворюють 6 і 5 класи захищеності. Вони відрізняються наявністю дискреційного управління доступом. Цей механізм дозволяє задавати правила доступу користувачів до різних ресурсів, таким як файл, програма та ін., В яких явно зазначено, що саме можна робити суб'єкту: читати вміст файлу, виконувати запуск програми і т. Д.
Утворюють третю групу 4, 3 і 2 класи відрізняються реалізацією мандатної управління доступом, заснованим на використанні класифікаційних міток. Вони дозволяють користувачам і ресурсів призначати т. Н. класифікаційні рівні, наприклад - категорії секретності оброблюваної інформації. Так, створюється ієрархічна структура, в якій користувач може отримати доступ до ресурсу в тому випадку, якщо його рівень у створеній ієрархії не нижче рівня ієрархії необхідного ресурсу. У разі не-ієрархічній структури в класифікаційний рівень користувача включають ті класифікаційні рівні ресурсів, доступ до яких цього користувачеві повинен бути забезпечений.
При цьому в цих засобах обчислювальної техніки присутній механізм дискреційного управління доступом: дискреційні правила служать доповненням мандатних.
А до складу четвертої групи входив тільки 1 клас, який характеризується наявністю верифицированной захисту. Реалізований механізм захисту повинен гарантовано забезпечувати перехоплення диспетчером доступу всіх звернень суб'єктів доступу до об'єктів.
Класифікація засобів захисту автоматизованих систем
всього виділено дев'ять класів, об'єднаних в групи (рисунок 4).
Малюнок 4. Класи захищеності автоматизованих систем
Класи 1 групи - 1Д, 1Г, 1В, 1Б і 1А. Вони характеризують системи, в яких працює кілька користувачів. Користувачі мають різні права доступу до інформації. Рівні конфіденційності інформації також різні.
У 2 групі - класи 2Б і 2А. У системах таких класів у користувачів рівні повноваження щодо всієї інформації. Сама ж інформація знаходиться на носіях різного рівня конфіденційності.
І, нарешті, 3 групу утворюють класи 3Б і 3А. У цьому випадку мова йде про одного користувача системах. Користувач допущений до всієї інформації. Рівень конфіденційності носіїв - однаковий.
Також визначено, що якщо АС працює з відомостями, віднесеними до держтаємниці, то клас системи не повинен бути нижче 3А, 2А, 1А, 1Б або 1В. При цьому, для класу захищеності:
- 1В повинні застосовуватися засоби обчислювальної техніки не нижче 4 класу;
- 1Б - не нижче 3 класу;
- 1А - не нижче 2 класу.
Класифікація міжмережевих екранів
В основі класифікації закладено розподіл за рівнями контролю міжмережевих інформаційних потоків (рисунок 5).
Малюнок 5. Класи захищеності міжмережевих екранів
Найвищий - 1-й клас. Він застосуємо, коли потрібно забезпечити безпечне взаємодія автоматизованих систем класу 1А із зовнішнім середовищем.
Якщо в автоматизованих системах класів 3А, 2А обробляється інформація з грифом «особливої важливості», то потрібно використовувати міжмережевий екран не нижче 1 класу.
Для захисту взаємодії із зовнішнім світом систем класу 1Б призначені міжмережеві екрани 2 класу. Якщо в системах класів 3А, 2А обробляється інформація з грифом «цілком таємно», необхідно використовувати міжмережеві екрани не нижче зазначеного класу.
Захист взаємодії систем класу 1В забезпечується міжмережевими екранами 3 класу. Якщо в автоматизованих системах класів 3А, 2А відбувається обробка інформації з грифом «секретно», буде потрібно міжмережевий екран не нижче 3 класу.
Міжмережеві екрани 4 класу потрібні в разі захисту взаємодії автоматизованих систем класу 1Г з зовнішнім середовищем.
Взаємодія систем класу 1Д повинні забезпечувати міжмережеві екрани 5 класу. Також потрібно використовувати їх не нижче зазначеного класу для автоматизованих систем класу 3Б і 2Б.
Класи захисту міжмережевих екранів
З 2016 року введена шестирівневу класифікація міжмережевих екранів (рисунок 6).
Малюнок 6. Класифікація міжмережевих екранів по класах захисту
За такого підходу, в інформаційних системах захист інформації, що містить відомості, віднесені до державної таємниці, повинна забезпечуватися за допомогою міжмережевих екранів 3, 2 і 1 класів захисту.
Що стосується інших випадків, то в державних інформаційних системах (ГІС) 1, 2 і 3 класів захисту потрібно використовувати міжмережеві екрани 4, 5 і 6 класів відповідно. Аналогічна ситуація щодо автоматизованих систем управління виробничими і технологічними процесами (далі - АСУ).
Для забезпечення 1 і 2 рівнів захищеності персональних даних в інформаційних системах персональних даних (ІСПДн) буде потрібно встановлювати міжмережеві екрани 4 і 5 класів відповідно. Якщо ж потрібно забезпечити 3 або 4 рівень захищеності персональних даних, то досить 6 класу захисту.
Регулятор також визначив необхідність використання міжмережевих екранів 4 класу для захисту інформації в інформаційних системах загального користування II класу.
Типи міжмережевих екранів
Регулятор виділяє міжмережеві екрани рівня:
- мережі (тип «А»);
- логічних меж мережі (тип «Б»);
- вузла (тип «В»);
- веб-сервера (тип «Г»);
- промислової мережі (тип «Д»).
Міжмережеві екрани типу «А» реалізується тільки в програмно-технічному виконанні. «Б», «Г» і «Д» можуть бути як у вигляді програмного продукту, так і в ПТІ. Виключно у вигляді програмного продукту реалізується міжмережеві екрани типу «В».
Міжмережеві екрани типу «А» встановлюють на фізичному периметрі інфомаційно систем. Якщо в них є кілька фізичних сегментів, то такий міжмережевий екран може встановлюватися між ними (малюнок 7).
Малюнок 7. Приклад розміщення міжмережевих екранів типу «А»
Міжмережеві екрани типу «Б» встановлюються на логічної кордоні інформаційних систем. Якщо в них виділяються логічні сегменти, то між ними також може бути встановлений міжмережевий екран даного типу (рисунок 8).
Малюнок 8. Приклад розміщення брандмауера класу «Б»
Для розміщення на мобільних або стаціонарних вузлах інформаційних систем призначені міжмережеві екрани типу «В».
Розбір http (s) -трафік між веб-сервером і клієнтом здійснюють міжмережеві екрани типу «Г». Вони встановлюються на сервері, що обслуговує веб-сайти (служби, додатки). Можлива установка на фізичної кордоні сегмента таких серверів.
З промисловими протоколами передачі даних працюють міжмережеві екрани типу «Д». Саме вони встановлюються в АСУ.
Класифікація засобів захисту систем виявлення вторгнень
З 2011 р використовується шестирівневу класифікація систем виявлення вторгнень (малюнок 9).
Малюнок 9. Класи захисту систем виявлення вторгнень
За цим підходом, захист інформаційних систем, в яких обробляється інформація, що містить відомості, віднесені до державної таємниці, забезпечується засобами виявлення вторгнень 3, 2 і 1 класів захисту.
У ІСПДн для забезпечення 3 і 4 рівнів захищеності персональних даних встановлюються системи виявлення вторгнень 6 класу. Забезпечення 1 і 2 рівнів захищеності персональних даних забезпечується застосуванням систем 4 і 5 класів захисту відповідно.
Захист державних систем при відсутності відомостей, що становлять державну таємницю, забезпечують системи виявлення вторгнень 4 класу захисту.
У разі інформаційних систем загального користування II класу слід застосовувати системи виявлення вторгнень 4 класу.
Типи систем виявлення вторгнень
Вимоги до функцій систем виявлення вторгнень відображені в розроблених ФСТЕК Росії профілях захисту. У специфікації профілів захисту виділяють системи виявлення вторгнень рівнів мережі і вузла.
Система рівня мережі підключається до комунікаційного обладнання (наприклад, комутатора) і контролює мережевий трафік, спостерігаючи за декількома мережевими вузлами.
Система рівня вузла встановлюється на вузол і проводить аналіз системних викликів, журналів роботи додатків і інших джерел вузла.
Класифікація захищеності засобів антивірусного захисту інформації
ФСТЕК Росії ввів шестирівневу класифікацію засобів антивірусного захисту. Ця система аналогічна класифікації для систем виявлення вторгнень, і її вигляд відповідає представленому на малюнку 9. Зокрема, захист систем, в яких обробляється інформація, що містить відомості, віднесені до державної таємниці, забезпечується засобами антивірусного захисту 3, 2 і 1 класів.
У ІСПДн для забезпечення 3 і 4 рівнів захищеності персональних встановлюються засоби антивірусного захисту 6 класу. Забезпечення 1 і 2 рівнів захищеності персональних даних забезпечується застосуванням засобів антивірусного захисту 4 і 5 класів захисту відповідно.
Захист державних інформаційних систем при відсутності відомостей, що становлять державну таємницю, забезпечують засоби антивірусного захисту 4 класу захисту.
Для систем загального користування II класу слід застосовувати засоби антивірусного захисту 4 класу.
Типи засобів антивірусного захисту
Регулятор виділяє кошти антивірусного захисту, призначені для централізованого адміністрування засобів антивірусного захисту, встановлених на компонентах інформаційних систем (тип «А»), а також - для застосування на:
- серверах (тип «Б»);
- автоматизованих робочих місцях (тип «В»);
- автономних автоматизованих робочих місцях (тип «Г»).
Класи захисту коштів довіреної завантаження
З 2013 р введена 6-рівнева класифікація засобів довіреної завантаження (рисунок 10).
Малюнок 10. Класи захисту коштів довіреної завантаження
При організації захисту ГІС 3 класу захищеності розглядають випадки наявності доступу до мереж міжнародного обміну і його відсутності. При наявності взаємодії повинні застосовуватися засоби довіреної завантаження 4 класу захисту. Засоби довіреної завантаження цього ж класу повинні використовуватися в ГІС 1 і 2 класів захищеності.
При відсутності взаємодії з мережами міжнародного інформаційного обміну ГІС 3 класу захищеності досить встановлювати СДЗ 5 класу.
Цей же клас достатньо в разі захисту ІСПДн, коли необхідно забезпечити 4 рівень захищеності персональних даних або 3-й - при відсутності взаємодії з мережами міжнародного інформаційного обміну.
Для забезпечення 1 і 2 рівнів захищеності персональних даних, а також 3-го -за наявності вказаного мережевої взаємодії або при актуальності загроз 2 типу потрібно установка засобів довіреної завантаження 4 класу.
Застосування засобів довіреної завантаження 4 класу досить для захисту інформаційних систем загального користування II класу.
Засоби довіреної завантаження 6 класу встановлюються, якщо вони не належать до ГІС, ІСПДн та інформаційних систем загального користування, а також в них відсутня обробка інформації, що містить відомості, віднесені до державної таємниці. Якщо ж вони «причетні» до держтаємниці - потрібно установка СДЗ 3, 2 або 1 класу захисту.
Типи засобів довіреної завантаження
Регулятор виділив кошти довіреної завантаження рівнів:
- базової системи введення-виведення;
- плати розширення;
- завантажувального запису.
Класи захисту засобів контролю знімних машинних носіїв
З 2014 році введена 6-рівнева класифікація засобів контролю знімних машинних носіїв. Вона в повній мірі аналогічна розглянутому вище випадку класифікації засобів довіреної завантаження (рисунок 10). Так само, при організації захисту ГІС 3 класу захищеності розглядають випадки наявності доступу до мереж міжнародного обміну і його відсутності. При наявності взаємодії повинні застосовуватися засоби контролю носіїв 4 класу захисту. Кошти цього ж класу повинні використовуватися в ГІС 1 і 2 класів захищеності.
При відсутності взаємодії з мережами міжнародного інформаційного обміну в ГІС 3 класу захищеності досить встановлювати засоби контролю знімних носіїв 5 класу.
Цей же клас даних СЗІ достатньо в разі захисту ІСПДн, коли необхідно забезпечити 4 рівень захищеності персональних даних або 3-й - при відсутності взаємодії з мережами міжнародного інформаційного обміну.
Для забезпечення 1 і 2 рівнів захищеності персональних даних, а також 3-го - при наявності вказаного мережевої взаємодії або при актуальності загроз 2 типу потрібно установка засобів контролю знімних носіїв 4 класу.
Застосування засобів контролю носіїв 4 класу досить для захисту інформаційних систем загального користування II класу.
Шостий клас даних СЗІ встановлюється, якщо вони не належать до ГІС, ІСПДн і ІС загального користування, а також в них відсутня обробка інформації, що містить відомості, віднесені до державної таємниці. Якщо ж вони «причетні» до держтаємниці - потрібно установка засобів контролю носіїв 3, 2 або 1 класу захисту.
Типи засобів контролю знімних машинних носіїв інформації
У відносинах них розрізняють засоби контролю:
- підключення знімних носіїв інформації;
- відчуження (перенесення) інформації зі знімних машинних носіїв.
Класи операційних систем для забезпечення захисту інформації
З 2016 році введена шестирівневу класифікація операційних систем, що використовуються для забезпечення захисту інформації (рисунок 11).
Малюнок 11. Класи захисту операційних систем
Використовуваний підхід класифікації аналогічний представленому раніше, зокрема, щодо міжмережевих екранів. Так, в інформаційних і автоматизованих системах захист інформації, що містить державну таємницю, повинна забезпечуватися за допомогою відповідних механізмів операційних систем 3, 2 і 1 класів захисту.
Для державних інформаційних систем 1, 2 і 3 класів захисту повинні використовуватися операційні системи 4, 5 і 6 класів відповідно. Аналогічна ситуація щодо АСУ.
Для забезпечення 1 і 2 рівнів захищеності персональних даних буде потрібно застосування операційних систем 4 і 5 класів відповідно. Якщо ж потрібно забезпечити 3 або 4 рівень захищеності персональних даних, то досить розгорнути операційну систему 6 класу захисту.
І, нарешті, необхідно використання операційних систем 4 класу для захисту інформації в ІС загального користування II класу.
Типи операційних систем, що використовуються з метою забезпечення захисту інформації
Розрізняють операційні системи:
- загального призначення (тип «А»);
- вбудовуються (тип «Б»);
- реального часу (тип «В»).
Системи типу «А» встановлюються на засоби обчислювальної техніки загального призначення, такі як АРМ, сервери, смартфони, планшети, телефони та інші.
Операційні системи типу «Б» встановлюються в спеціалізовані технічні засоби, вирішальні заздалегідь певні набори задач.
Системи типу «В» призначені для забезпечення реагування на події в рамках заданих часових обмежень при заданому рівні функціональності.
Класифікація захищеності виробів інформаційних технологій
В даний час проводиться впровадження системи оцінки відповідності на основі стандарту ДСТУ ISO / IEC 15408. У рамках цього стандарту виділяють т. Н. профіль захисту. Він являє собою сукупність вимог безпеки щодо певної категорії виробів ІТ, незалежну від реалізації.
Залежно від ступеня конфіденційності оброблюваної інформації визначені класи захищеності виробів ІТ. Так, при захисті інформації з грифом «особливої важливості» застосовуються вироби 1 класу. Для захисту інформації з грифом «цілком таємно» достатнім вважається 2 клас захищеності. Третій клас захищеності достатній при захисті інформації з грифом «секретно». А для захисту конфіденційної інформації будуть потрібні вироби ІТ як мінімум 4 класу захищеності.
Засоби захисту в інформаційних системах загального користування
За дорученням Уряду Російської Федерації розроблено Вимоги щодо захисту інформації в інформаційних системах загального користування. У них, зокрема, визначено такі види засобів захисту інформації, як СЗІ від неправомірних дій (в тому числі - засоби криптографічного захисту інформації), засоби виявлення шкідливих програм (в тому числі - антивірусні засоби), засоби контролю доступу до інформації (в тому серед них - засоби виявлення комп'ютерних атак), засоби фільтрації і блокування мережевого трафіку (в тому числі - кошти міжмережевого екранування). Використання таких СЗІ має забезпечити необхідний рівень захищеності.
Види засобів криптографічного захисту інформації
Засоби захисту інформації, що реалізує алгоритми криптографічного перетворення інформації, відносять до криптографічних засобів захисту інформації (згідно з ГОСТ Р 50922-2006). Розробка, виготовлення та поширення їх є ліцензованим видом діяльності. згідно Положення про ліцензування прийнято розрізняти:
- засоби шифрування;
- кошти імітозащіти;
- засоби електронного підпису;
- засоби кодування;
- засоби виготовлення ключових документів;
- ключові документи;
- апаратні шифрувальні (криптографічні) кошти;
- програмні шифрувальні (криптографічні) кошти;
- програмно-апаратні шифрувальні (криптографічні) кошти.
У першому випадку мова йде про криптографічних СЗІ, що забезпечують можливість розмежування доступу до неї. Засоби шифрування, в яких частина криптоперетворень здійснюється з використанням ручних операцій або автоматизованих засобів, призначених для виконання таких операцій, називають засобами кодування.
Електронні документи, що містять ключову інформацію, необхідну для виконання криптографічних перетворень за допомогою засобів шифрування, прийнято називати ключовими документами. Засоби шифрування, що забезпечують створення ключових документів, називають засобами виготовлення ключових документів.
Захист від нав'язування хибної інформації, можливість виявлення змін інформації за допомогою реалізованих в СЗІ криптографічних механізмів надають засоби імітозащіти.
Криптографічні СЗІ, що забезпечують створення електронного цифрового підпису з використанням закритого ключа, підтвердження з використанням відкритого ключа дійсності електронного цифрового підпису, створення закритих і відкритих ключів електронного цифрового підпису відносять до засобів електронного підпису.
Суть відмінностей останніх трьох видів шифрувальних засобів, зазначених вище, очевидно випливає з їхніх назв.
Більш докладну інформацію щодо криптографічних СЗІ, відображена в затвердженому ФСБ Росії документі « ПКЗ-2005 ».
Класифікація криптографічних засобів захисту інформації
ФСБ Росії визначені класи криптографічних СЗІ: КС1, КС2, КС3, КВ і КА.
До основних особливостей СЗІ класу КС1 відноситься їх можливість протистояти атакам, що проводяться з-за меж контрольованої зони. При цьому мається на увазі, що створення способів атак, їх підготовка та проведення здійснюється без участі фахівців в області розробки і аналізу криптографічних СЗІ. Передбачається, що інформація про систему, в якій застосовуються зазначені СЗІ, може бути отримана з відкритих джерел.
Якщо криптографічний СЗІ може протистояти атакам, що блокується засобами класу КС1, а також проводяться в межах контрольованої зони, то таке СЗІ відповідає класу КС2. При цьому допускається, наприклад, що при підготовці атаки могла стати доступною інформація про фізичних заходи захисту інформаційних систем, забезпечення контрольованої зони та ін.
У разі можливості протистояти атакам при наявності фізичного доступу до засобів обчислювальної техніки з установленими криптографічними СЗІ говорять про відповідність таких засобів класу КС3.
Якщо криптографічний СЗІ протистоїть атакам, при створенні яких брали участь фахівці в області розробки і аналізу зазначених коштів, в тому числі науково-дослідні центри, була можливість проведення лабораторних досліджень засобів захисту, то мова йде про відповідність класу КВ.
Якщо до розробки способів атак залучалися фахівці в галузі використання НДВ системного програмного забезпечення, була доступна відповідна конструкторська документація і був доступ до будь-яких апаратних компонентів криптографічних СЗІ, то захист від таких атак можуть забезпечувати засоби класу КА.
Класифікація засобів захисту електронного підпису
Засоби електронного підпису в залежності від здібностей протистояти атакам прийнято зіставляти з наступними класами: КС1, КС2, КС3, КВ1, КВ2 і КА1. Ця класифікація аналогічна розглянутої вище щодо криптографічних СЗІ.
висновки
У статті були розглянуті деякі способи класифікації СЗІ в Росії, основу яких складає нормативна база регуляторів в області захисту інформації. Розглянуті варіанти класифікації не є вичерпними. Проте сподіваємося, що представлена зведена інформація дозволить швидше орієнтуватися починаючому фахівцеві в області забезпечення ІБ.
Як захистити інформацію в таких умовах?Як захистити інформацію в таких умовах?
Як захистити інформацію в таких умовах?
