Ссификации объектов информационных технологий (оит) для того, чтобы определить перечень типовых оит, для которых целесообразно разрабатывать профили защиты (ПЗ)

Вид материалаДоклад

Содержание


2. Критерии классификации объектов информационных технологий
Подобный материал:
КРИТЕРИИ КЛАССИФИКАЦИИ ОБЪЕКТОВ
ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ПО ТРЕБОВАНИЯМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

В.К. Фисенко, Е.П. Максимович

Минск, ОИПИ НАН Беларуси


Целью доклада является проведение классификации объектов информационных технологий (ОИТ) для того, чтобы определить перечень типовых ОИТ, для которых целесообразно разрабатывать профили защиты (ПЗ).


1. Основные понятия и постулаты

Для обеспечения единства понимания излагаемых в докладе положений раскроем содержание некоторых терминов и понятий.

Общие критерии оперируют понятиями «продукты» и «системы ИТ». Под продуктом ИТ понимается отдельное программное, аппаратное и программно-аппаратное средство. Под системой ИТ – совокупность средств ИТ, объединенных общими задачами и условиями функционирования. Обобщенным понятием продукта и систем ИТ является объект информационных технологий.

Постулаты доктора Рона Росса, США:
  • ПЗ должны разрабатываться в основных областях ИТ (например, операционных системах, системах баз данных, защитных экранах, интеллектуальных карточках, биометрических приборах, компонентах инфраструктуры открытых ключей, виртуальных частных сетях) и использовать весь спектр возможностей и гарантий безопасности, соответствующих предполагаемым средам использования;
  • процесс разработки и исследования ПЗ должен быть по возможности открытым и общедоступным и осуществляться во взаимодействии с промышленностью, консорциумами и группами стандартизации для того, чтобы гарантировать максимальное одобрение и практичность.

Доктор Р. Росс рекомендует:
  • ПЗ объединять в семейства по основным областям ИТ (операционные системы, базы данных, обнаружение вторжений и т. д.);
  • в семействах ПЗ распределять в соответствии с политикой областей ИТ и организационным ресурсом;
  • на каждое технологическое семейство разрабатывать три вида ПЗ, соответствующие базовому, расширенному и повышенному уровням защиты.



2. Критерии классификации объектов информационных технологий


Системы ИТ делятся на подсистемы, требующие защиты, и подсистемы, обеспечивающие защиту, – комплексы средств обеспечения безопасности объекта (КСБО). Продукты ИТ делятся на продукты, участвующие в обработке информации, и продукты-средства защиты информации. Каждый тип ОИТ имеет свои особенности, вследствие чего для каждого из них предлагается своя классификация.

2.1. В основу классификации систем ИТ, требующих защиты, положены следующие критерии:
  • эквивалентность (подобие) систем по категории обрабатываемой информации;
  • эквивалентность систем по важности обрабатываемой информации;
  • эквивалентность систем по требуемому уровню защиты;
  • эквивалентность систем по взаимодействию с внешними сетями;
  • идентичность контролируемых зон;
  • идентичность используемых КСБО.

2.1.1. Устанавливаются следующие подклассы систем ИТ в зависимости от категории обрабатываемой информации: а) системы, используемые для обработки информации, содержащей сведения, отнесенные в установленном порядке к государственным секретам (государственной тайне); б) системы, используемые для обработки информации, содержащей сведения, отнесенные в установленном порядке к информации ограниченного распространения (доступа); в) системы, используемые для обработки открытой информации.

2.1.2. Устанавливаются следующие подклассы систем ИТ в зависимости от важности обрабатываемой информации: а) системы, используемые для обработки информации, требующей обеспечения конфиденциальности; б) системы, используемые для обработки информации, требующей обеспечения доступности; в) системы, используемые для обработки информации, требующей обеспечения целостности; г) системы, используемые для обработки информации, требующей обеспечения конфиденциальности и доступности; д) системы, используемые для обработки информации, требующей обеспечения конфиденциальности и целостности; е) системы, используемые для обработки информации, требующей обеспечения целостности и доступности; ж) системы, используемые для обработки информации, требующей обеспечения конфиденциальности, целостности и доступности.

2.1.3. Устанавливаются следующие подклассы систем ИТ в зависимости от требуемого уровня защиты: а) системы, требующие базового уровня защиты; б) системы, требующие расширенного уровня защиты; г) системы, требующие повышенного уровня защиты.

2.1.4. Устанавливаются следующие подклассы систем ИТ по взаимодействию с внешними сетями: а) автономные системы, не имеющие выхода во внешнюю сеть; б) локальные системы, использующие защищенные каналы передачи данных; в) локальные системы, использующие открытые каналы передачи данных; г) распределенные системы, использующие защищенные каналы передачи данных; д) распределенные системы, использующие открытые каналы передачи данных.

Здесь и везде далее, если ОИТ обрабатывает (защищает) различные категории информации или его компоненты требуют разного уровня защиты (обеспечивают разный уровень защиты), то подкласс ОИТ определяется по высшей степени секретности обрабатываемой (защищаемой) информации или высшему уровню требуемой (обеспечиваемой) защиты.

В соответствии с предложенными критериями типовая система ИТ, требующая защиты, – это система ИТ, которая обрабатывает информацию определенной категории и важности, требует определенного уровня защиты, характеризуется определенным взаимодействием с внешними сетями, находится в определенной контролируемой зоне и защищается определенным КСБО. Множество типовых систем ИТ определяется заданием различных четверок подклассов, выбранных из пп. 2.1.1 – 2.1.4, и описанием вида контролируемых зон и используемых КСБО.

2.2. В основу классификации КСБО положены следующие критерии:
  • эквивалентность КСБО по категории защищаемой информации;
  • эквивалентность КСБО по важности защищаемой информации;
  • эквивалентность КСБО по обеспечиваемому уровню защиты;
  • идентичность контролируемой зоны.

2.2.1. Устанавливаются следующие подклассы КСБО в зависимости от категории защищаемой информации: а) КСБО, которые обеспечивают защиту информации, содержащей сведения, отнесенные в установленном порядке к государственным секретам (государственной тайне); б) КСБО, которые обеспечивают защиту информации, содержащей сведения, отнесенные в установленном порядке к информации ограниченного распространения (доступа); в) КСБО, которые обеспечивают защиту открытой информации.

2.2.2. Устанавливаются следующие подклассы КСБО в зависимости от важности защищаемой информации: а) КСБО, предназначенные для защиты информации, требующей обеспечения конфиденциальности; б) КСБО, предназначенные для защиты информации, требующей обеспечения доступности; в) КСБО, предназначенные для защиты информации, требующей обеспечения целостности; г) КСБО, предназначенные для защиты информации, требующей обеспечения конфиденциальности и доступности; д) КСБО, предназначенные для защиты информации, требующей обеспечения конфиденциальности и целостности; е) КСБО, предназначенные для защиты информации, требующей обеспечения целостности и доступности; ж) КСБО, предназначенные для защиты информации, требующей обеспечения конфиденциальности, целостности и доступности.

2.2.3. Устанавливаются следующие подклассы КСБО в зависимости от обеспечиваемого уровня защиты: а) КСБО, обеспечивающие базовый уровень защиты; б) КСБО, обеспечивающие расширенный уровень защиты; г) КСБО, обеспечивающие повышенный уровень защиты.

В соответствии с предлагаемыми критериями типовой КСБО осуществляет защиту информации определенной категории и важности, обеспечивает определенный уровень защиты и находится в определенной контролируемой зоне. Множество типовых КСБО, для которых целесообразно разрабатывать ПЗ, определяется заданием различных троек подклассов, выбранных из пп. 2.2.1 – 2.2.3, и описанием вида контролируемых зон.

2.3. В основу классификации продуктов ИТ, участвующих в обработке информации, положены следующие критерии:
  • эквивалентность продуктов по категории обрабатываемой информации;
  • эквивалентность продуктов по важности обрабатываемой информации;
  • эквивалентность продуктов по требуемому уровню защиты;
  • идентичность контролируемых зон;
  • идентичность используемых КСБО.

В соответствии с предлагаемыми критериями типовой продукт ИТ, участвующий в обработке информации, – это продукт ИТ, который обрабатывает информацию определенной категории и важности, требует определенного уровня защиты, находится в определенной контролируемой зоне и защищается определенным КСБО.

2.4. В основу классификации продуктов ИТ – средств защиты информации – положены следующие критерии:
  • эквивалентность средств защиты по категории защищаемой информации;
  • эквивалентность средств защиты по важности защищаемой информации;
  • эквивалентность средств защиты по обеспечиваемому уровню защиты;
  • идентичность контролируемых зон;
  • идентичность КСБО, в составе которых функционирует средство защиты.

В соответствии с предлагаемыми критериями типовой продукт-средство защиты осуществляет защиту информации определенной категории и важности, обеспечивает определенный уровень защиты, находится в определенной контролируемой зоне и функционирует в составе определенного КСБО.

В соответствии с предложенными критериями классификации, множество типовых ОИТ, для которых целесообразно разрабатывать ПЗ, задается различными сочетаниями соответствующих подклассов. Однако некоторые сочетания на практике не реализуемы, вследствие чего потребность в разработке ПЗ для них отсутствует. На основании установленных критериев типовому ОИТ можно поставить в соответствие ряд характеристик, которым должен обладать его ПЗ. Эти сведения могут быть использованы разработчиками при разработке ПЗ и экспертами при оценке ПЗ.