[МУЗЫКА] Ещё одну категорию документов,
фактически являющихся стандартами, хотя и не имеющих статуса государственных
стандартов, составляют руководящие документы уполномоченных органов или,
иными словами, регуляторов Российской Федерации.
Они, хотя и не являются ГОСТами,
часто являются техническими спецификациями или, как правило, оценочными стандартами,
вводя различные классификации, методики оценивания защищённости тех или иных
объектов информатизации или отдельных компонент системы защиты информации.
Уполномоченными органами в сфере защиты информации в Российской Федерации
являются следующие органы: Роскомнадзор — по вопросам соблюдения требований
законодательства (например, в сфере обработки персональных данных),
Федеральная служба безопасности Российской Федерации является уполномоченным
органом по вопросам защиты информации криптографическими методами,
а уже известная нам в рамках настоящего курса Федеральная служба по
техническому и экспортному контролю в России — по вопросам защиты информации
некриптографическими методами.
Для примера рассмотрим руководящие документы Федеральной службы технического
и экспортного контроля, а именно два руководящих документа данной службы.
Руководящий документ.
Автоматизированные системы.
Защита от несанкционированного доступа к информации.
Классификация автоматизированных систем и требования по защите информации.
Данный документ предлагает классификацию автоматизированных систем
по уровню их защиты от несанкционированного доступа.
И руководящий документ.
Средства вычислительной техники.
Межсетевые экраны.
Защита от несанкционированного доступа к информации.
Показатели защищённости от несанкционированного доступа к информации.
А этот документ в свою очередь предлагает классификацию межсетевых
экранов также по уровню обеспечиваемой ими защиты информации от
несанкционированного доступа.
Также стоит обратить внимание, что эти документы связаны между собой и во втором
документе даётся прямое соответствие между этими двумя классификациями,
то есть указывается межсетевые экрана какого класса защиты должны быть
использованы для каких автоматизированных систем в зависимости от их класса.
Рассмотрим эти документы подробнее.
В первом руководящем документе приводится девять классов, входящих в три группы,
защищённости автоматизированных систем от несанкционированного доступа к информации.
В третью группу входят автоматизированные системы, в которых имеется всего
один пользователь, который при этом имеет доступ ко всей информации,
размещённой на носителях одного уровня конфиденциальности.
Примером такой автоматизированной системы может быть,
например, компьютер пользователя, который использует единственную учётную запись,
обладающую правами администратора, и таким образом имеет всю
полноту доступа ко всей информации, в этом компьютере представленной.
Вторая группа автоматизированных систем включает системы, в которых
пользователи имеют одинаковые права доступа ко всей информации, обрабатываемый
или хранящейся при этом на носителях различного уровня конфиденциальности.
Здесь пользователи равноправные,
но есть различные уровни конфиденциальности информации.
В данной группе, как и в предыдущей, содержатся два класса.
В предыдущей были, соответственно, 3Б и 3А, а во второй — 2Б и 2А.
Наконец, первая группа включает автоматизированные системы,
в которых одновременно обрабатывается или хранится информация разных уровней
конфиденциальности, и не все пользователи имеют право доступа ко всей информации
автоматизированной системы.
Здесь выделяется уже пять классов от 1Д до 1А.
Это, разумеется, самая многочисленная категория автоматизированных систем и,
конкретно, это автоматизированные системы многопользовательские,
в которых есть много неравноправных пользователей,
и информация при этом также имеет различные уровни доступа.
По сути, те системы разграничения доступа, про которые мы говорили,
относятся к именно этой категории, именно к этой групп автоматизированных систем.
Классы защищённости 1А, 2А и 3А — это классы защищённости, которые требуется
использовать для автоматизированных систем, которые обрабатывают сведения,
составляющие государственную тайну до сведений с грифом «Особой важности»,
то есть до самого высшего грифа государственной тайны.
Класс защищённости 1Б разрешается использовать для обработки
сведений с грифом вплоть до «Совершенно секретно», и, наконец,
класс 1В — для сведений с грифом «Секретно» или не имеющих грифа вовсе.
Классы же защищённости более низкие — 1Г и 1Д,
а также 2Б и 3Б — предполагаются к использованию для автоматизированных
систем, которые обрабатывают сведения, не составляющие государственную тайну.
Классы 1Г, 2Б и 3Г — это сопоставимые классы
из разных групп автоматизированных систем и в автоматизированных системах,
соответствующих данным классам защищённости, допускается обрабатывать
сведения, составляющие конфиденциальную информацию, например, служебную тайну.
И, наконец, наименее строгие по требованиям к
защищённости классы — это классы 1Г, 1Д, 2Б и 3Б.
Системы, соответствующие им, разрешается использовать для обработки данных,
содержащих персональные данные и коммерческую тайну.
Второй руководящий документ данной федеральной службы предлагает
классификацию межсетевых экранов на классы защищённости.
Самый низкий класс защищённости — пятый, он применяется для безопасного
взаимодействия автоматизированной системы класса 1Д с внешней средой,
четвёртый — для класса 1Г, третий — для класса 1В, второй — 1Б, и первый — для 1А.
То есть пять классов автоматизированных систем многопользовательских
взаимно-однозначно сопоставлены классом защищённости межсетевых экранов.
Что касается систем с менее строгими требованиями в двух других группах
автоматизированных систем — это классы 3Б и 2Б — для них предполагается использовать
межсетевой экран классом защищённости не ниже пятого, то есть такой, у которого в
принципе соблюдается минимальный набор требований по защищённости.
Что касается других автоматизированных систем третьей и второй групп,
то для них класс защищённости экрана зависит от важности информации,
которая в них обрабатывается.
При обработке информации с грифом «Секретно» требуется обеспечить не ниже,
чем третий класс защищённости межсетевого экрана.
Если речь идёт о информации, содержащей гриф «Совершенно секретно»,
уже требования повышаются до второго класса.
И, наконец, при обработке информации,
содержащей государственную тайну с грифом «Особой важности»,
следует обеспечить не ниже, чем первый класс защищённости межсетевых экранов.
Наш курс подходит к концу.
Я надеюсь, что полученный в рамках его знания вы сможете применить на
практике в повседневной жизни, в своей профессиональной деятельности, повысить
свой уровень квалификации на том или ином месте работы, показать начальству,
что вы разбираетесь в защите информации, и во многом более выгодно преподать
себя на различных собеседованиях, показав ещё одну сферу своей компетентности.
Несмотря на то, что наш курс подходит к концу,
я всегда рад продолжить с вами коммуникацию.
Пожалуйста, оставляйте свои вопросы на форуме, пишите мне на почту.
Я буду рад ответить на любые вопросы, связанные с углублениями ваших знаний,
уточнениями каких-то моментов и, возможно,
рекомендациями по применению их на практике.
Большое спасибо за внимание!
[МУЗЫКА]
[МУЗЫКА]
Сорокин Александр ВладимировичСтарший преподаватель
