Основные положения РД Гостехкомисии России «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации».

Руководящий документ устанавливает классификацию АС, подлежащих защите от НСД к информации, и задаёт требования по защите информации в автоматизированных системах различных классов.

В соответствии с документом, классификация АС включает следующие этапы:

1. Разработка и анализ исходных данных.

2. Выявление основных признаков АС, необходимых для классификации.

3. Сравнение выявленных признаков АС с классифицируемыми.

4. Присвоение АС соответствующего класса защиты информации от НСД.

Исходными данными для классификации АС являются:

1. Перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности.

2. Перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий.

3. Матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС.

4. Режим обработки данных в АС.

Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации. Устанавливаются 9 классов защищённости АС от

НСД к информации, каждый класс характеризуется определённой минимальной совокупностью требований по защите. Классы подразделяются на 3 группы:

- III группа – классы 3Б и 3А

Классы соответствуют автоматизированным системам, в которых работает один пользователь, допущенный ко всей информации в АС, размещённой на носителях одного уровня конфиденциальности.

- II группа – классы 2Б и 2А

Классы данной группы соответствуют автоматизированным системам, в которых пользователи имеют одинаковые права доступа ко всей информации в АС, обрабатываемой или хранимой на носителях различного уровня конфиденциальности.

- I группа – классы 1Д, 1Г, 1В, 1Б и 1А

В соответствующих автоматизированных системах одновременно обрабатывается или хранится информация разных уровней конфиденциальности. Не все пользователи имеют доступ ко всей информации в АС.

Для каждого из классов фиксируется набор требований, составленный из следующего общего списка:

[Спрашивать про содержание классов не должны, но вдруг…]

1. Подсистема управления доступом

1.1. Идентификация, проверка подлинности и контроль доступа субъектов:

- в систему;

- к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ;

- к программам;

- к томам, каталогам, файлам, записям, полям записей.

1.2. Управление потоками информации

2. Подсистема регистрации и учёта

2.1. Регистрация и учёт:

- входа (выхода) субъектов доступа в (из) систему (узел сети);

- выдачи печатных (графических) выходных документов;

- запуска (завершения) программ и процессов;

- доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи;

- доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей;

- изменения полномочий субъектов доступа;

- создаваемых защищаемых объектов доступа.

2.2. Учёт носителей информации.

2.3. Очистка освобождаемых областей оперативной памяти ЭВМ и внешних накопителей.

2.4. Сигнализация попыток нарушения защиты.

3. Криптографическая подсистема

3.1. Шифрование конфиденциальной информации.

3.2. Шифрование информации, принадлежащей различным субъектам доступа (или

группам субъектов), на различных ключах.

3.3. Использование аттестованных (сертифицированных) криптографических средств.

4. Подсистема обеспечения целостности

4.1. Обеспечение целостности программных средств и обрабатываемой информации.

4.2. Физическая охрана СВТ и носителей информации.

4.3. Наличие администратора (службы) защиты информации в АС.

4.4. Периодическое тестирование средств защиты информации (СЗИ) от НСД.

4.5. Наличие средств восстановления СЗИ от НСД.

4.6. Использование сертифицированных средств защиты.

Проверка соответствия требованиям по защите информации от НСД для АС производится в рамках сертификационных или аттестационных испытаний.