Критерии стандарта защищенности автоматизированных систем

Критерий оценки безопасности компьютерных систем мин.обороны США

1983г. – вышел документ, который назывался "Trusted Computer system evaluation criteria" в данном документе были определены группы и уровни безопасности компьютерных систем. Все компьютерные системы делились на 4 группы: A,B,C,D.

D – относятся компьютерные системы, не отвечающие высшим уровням

С – избирательная (дискреционная) защита

С1 – пользователь, начинающий работу с системой должен пройти аутентификацию и регистрацию.

С2 – С1 + все субъекты и объекты имеют уникальные идентификаторы. Все события, потенциально опасные для компьютерных систем, регистрируются в спец. журнале. Физическая очистка областей памяти.

В – полномочная и мандатная защита

В1 – С2 + маркировка экспортируемой информации

В2 – В1 + компьютерная система реализует формально определенную и документированную модель безопасности

В3 – В2 + аварийная оповещение администратора о попытках несанкционированного доступа

А – верифицированная защита

А1 – формальная модель безопасности должна иметь математическое доказательство, что ее аксиомы соответствуют заданной политике безопасности.

Многие критерии устарели, тем не менее "Оранжевая книга" оказала сильное влияние на разработку подобных документов в других странах.

Руководящий Документ Гостехнокомисии при президенте рф 1992

Было выпущено 5 основных документов, в которых были сформулированы критерии защищенности для средств вычислительной техники и автоматизированных систем.

"Автоматизированные Системы. Защита от несанкционированного доступа информации. Классификация Автоматизированных систем и требования по защите информации"

Выделяют 3 группы:

3 - однопользовательские системы	2 - многопользовательские системы с одинаковыми правами доступа	1 - многопользовательские системы
3А - 3Б+регистрация распечатанных документов, физическая очистка областей памяти	2А = 3А+наличие подсистемы шифрования	1А - 1Б + пользователи должны иметь различные ключи для шифрования
		1Б - 1Г + наличие подсистемы шифрования
3Б - проверка пользователя при входе, регистрация вх/вых, учет используемых внешних носителей	2Б = 3Б	1В - 1Г + интерактивное оповещение администратора
		1Г - 1Д + регистрация потенциально опасных событий, физ. защита
		1Д - 3Б

– Полномочная

– Избирательная

http://www.fstec.ru

Для информационных систем персональных данных определены свои требования по защищенности и классификации. Делятся на 4 категории:

• данные ,касающиеся расовой принадлежности, религиозных, философских, политических убеждений, состояния здоровья

• персональные данные, позволяющие идентифицировать субъекта и получить о нем дополнительную информацию

• просто позволяющие идентифицировать субъекта

• общедоступные или обезличенные

Класс информационной системы персональных данных определяется категорией персональных данных и количеством субъектов, данные которых обрабатываются

1. в пределах РФ

2. обрабатываются в пределах муниципального

3. обрабатываются данные о субъектах конкретной организации (до 1000 чел)

Исходя из этих классификаций выделяют 4 категории систем персональных данных: К1,К2,К3,К4. Для каждой из категорий определен перечень требований, которым информационная система должна соответствовать.