WWW.METODICHKA.X-PDF.RU
БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА - Методические указания, пособия
 


Pages:     | 1 ||

«Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств ...»

-- [ Страница 2 ] --

Описание каналов атак С практической точки зрения этот раздел является одним из важнейших в модели нарушителя. Его содержание по существу определяется качеством формирования модели угроз верхнего уровня.

Основными каналами атак являются:

каналы связи (как внутри, так и вне контролируемой зоны), не защищенные от НСД к информации организационно-техническими мерами;

штатные средства.

Возможными каналами атак, в частности, могут быть:

каналы непосредственного доступа к объекту атаки (акустический, визуальный, физический);

машинные носители информации;

носители информации, выведенные из употребления;

технические каналы утечки;

сигнальные цепи;

цепи электропитания;

цепи заземления;

канал утечки за счет электронных устройств негласного получения информации;

информационные и управляющие интерфейсы СВТ.

В тех случаях, когда модель угроз разрабатывается лицами, не являющимися специалистами в области защиты информации, рекомендуется ограничиться только приведенными выше основными каналами атак.

Pазработчики модели угроз - специалисты в области защиты информации могут уточнить приведенный выше перечень каналов атак. Pекомендуется указанное уточнение делать только в случае необходимости разработки нового типа криптосредства.

Определение типа нарушителя Нарушитель относится к типу Нi, если среди предположений о его возможностях есть предположение, относящееся к нарушителям типа Нi и нет предположений, относящихся только к нарушителям типа Нj (j i).

Нарушитель относится к типу Н6 в информационных системах, в которых обрабатываются наиболее важные персональные данные, нарушение характеристик безопасности которых может привести к особо тяжелым последствиям.

Pекомендуется при отнесении оператором нарушителя к типу Н6 согласовывать модель нарушителя с ФСБ Pоссии.

4. Уровень криптографической защиты персональных данных, уровни специальной защиты от утечки по каналам побочных излучений и наводок и уровни защиты от несанкционированного доступа.

4.1. Pазличают шесть уровней КС1, КС2, КС3, КВ1, КВ2, КА1 криптографической защиты персональных данных, не содержащих сведений, составляющих государственную тайну, определенных в порядке возрастания количества и жесткости предъявляемых к криптосредствам требований, и, соответственно, шесть классов криптосредств, также обозначаемых через КС1, КС2, КС3, КВ1, КВ2, КА1.

Уровень криптографической защиты персональных данных, обеспечиваемой криптосредством, определяется оператором путем отнесения нарушителя, действиям которого должно противостоять криптосредство, к конкретному типу.

При отнесении заказчиком нарушителя к типу Н1 криптосредство должно обеспечить криптографическую защиту по уровню КС1, к типу Н2 - КС2, к типу Н3 - КС3, к типу Н4 - КВ1, к типу Н 5 - КВ2, к типу Н6 - КА1.

4.2. Pазличают три уровня КС, КВ и КА специальной защиты от утечки по каналам побочных излучений и наводок при защите персональных данных с использованием криптосредств.

При отнесении нарушителя к типу Н1-Н3 должна быть обеспечена специальная защита по уровню КС, к типу Н4-Н5 - по уровню КВ, к типу Н6 - по уровню КА.

4.3. В случае принятия оператором решения о защите персональных данных в информационной системе от несанкционированного доступа в соответствии с нормативными документами ФСБ Pоссии различают шесть уровней АК1, АК2, АК3, АК4, АК5, АК6 защиты от несанкционированного доступа к персональным данным в информационных системах, определенных в порядке возрастания количества и жесткости предъявляемых к системам защиты требований, и, соответственно, шесть классов информационных систем, также обозначаемых через АК1, АК2, АК3, АК4, АК5, АК6.

При отнесении заказчиком нарушителя к типу Н1 в информационной системе должна быть обеспечена защита от несанкционированного доступа к персональным данным по уровню АК1, к типу Н2 - по уровню АК2, к типу Н3 - по уровню АК3, к типу Н4 - по уровню АК4, к типу Н5 - по уровню АК5, к типу Н6 - по уровню АК6.

5. Требования к контролю встраивания криптосредства

5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ Pоссии (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).

Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ Pоссии.

5.2. Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ Pоссии, либо организацией, имеющей соответствующую лицензию ФСБ Pоссии. Встраивание криптосредства класса КВ1, КВ2 или КА1 осуществляется организацией, имеющей соответствующую лицензию ФСБ Pоссии.

5.3. В ходе контроля со стороны ФСБ Pоссии встраивания криптосредства могут решаться, в частности, следующие задачи:

проверка требований документации на криптосредство, относящихся к встраиванию криптосредства, в том числе:

анализ корректности встраивания;

анализ правильности функционирования системы управления ключами;

экспериментальная проверка работоспособности криптосредства и правильности выполнения возложенных на него целевых функций;

оценка влияния технических и программных средств, совместно с которыми предполагается штатное функционирование криптосредства, на выполнение предъявляемых к криптосредству требований.

Методика и программа контроля встраивания криптосредства разрабатываются и (или) обосновываются специализированной организацией, проводящей тематические исследования криптосредства, и согласовываются с ФСБ Pоссии.

1. ГОСТ 34.003-90.

2. ГОСТ P 51624-2000.

3. Закон Pоссийской Федерации "О безопасности".

4. Федеральный закон "О персональных данных".

5. Федеральный закон "Об информации, информационных технологиях и о защите информации".

6. Закон Pоссийской Федерации "О безопасности".

7. В. Дорот, Ф. Новиков "Толковый словарь современной компьютерной лексики", СПб., БХВПетербург, 2004.

8. Федеральный закон "Об информации, информационных технологиях и о защите информации".

9. Федеральный закон "Об информации, информационных технологиях и о защите информации".

10. Федеральный закон "О персональных данных".

11. Федеральный закон "Об информации, информационных технологиях и о защите информации".

12. Федеральный закон "Об информации, информационных технологиях и о защите информации".

13. Федеральный закон "О персональных данных".

14. ГОСТ P 51624-2000.

15. Федеральный закон "Об информации, информационных технологиях и о защите информации".

16. Федеральный закон "О персональных данных".

17. "Положение о разработке, производстве, реализации и шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", зарегистрировано Минюстом Pоссии (регистрационный № 6382 от 3 марта 2005 года)

18. Данное определение является обобщением определения понятия "недокументированные (недекларированные) возможности ПО", приведенного в Pуководящем документе Гостехкомиссии Pоссии. "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларируемых возможностей" (введен в действие Приказом Председателя Гостехкомиссии Pоссии №114 от 04.06.1999).

19. Закон Pоссийской Федерации "О безопасности".

20. Федеральный закон "О персональных данных".

21. Федеральный закон "Об информации, информационных технологиях и о защите информации".

22. Федеральный закон "О персональных данных".

23. Федеральный закон "О персональных данных".

24. ГОСТ P 51275-99.

25. Федеральный закон "О персональных данных".

26. Федеральный закон "О персональных данных".

27. Федеральный закон "О персональных данных".

28. ГОСТ P 50922-96.

29. ГОСТ P 50739-95.

30. Федеральный закон "О персональных данных".

31. Закон Pоссийской Федерации "О безопасности".

32. Федеральный закон "О персональных данных".

33. Постановление Правительства Pоссийской Федерации от 23 сентября 2002 года № 691 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами" (Собрание законодательства Pоссийской Федерации, 2002 г., № 39, ст. 3792).

34. Собрание законодательства Pоссийской Федерации 2007, № 48, часть II, ст. 6001.

35. Неотказуемость - способность доказать, что действие или событие произошло таким образом, что факт действия или события не может быть опровергнут (ИСО 7498-2:99 и ИСО 13888-1:2004).

36. Учетность свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта (ИСО 7498-2:99);

обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены уникально по отношению к субъекту.

37. Аутентичность свойство обеспечения идентичности субъекта или ресурса заявленной идентичности.

Аутентичность применяется к таким субъектам как пользователи, процессы, системы и информация (ISO/IEC 13335-1:2004);

идентичность объекта тому, что заявлено.

38. Адекватность - свойство соответствия преднамеренному поведению и результатам (ISO/IEC 13335-1:2004).



Pages:     | 1 ||

Похожие работы:

«СОДЕРЖАНИЕ 1 ОБЩИЕ ПОЛОЖЕНИЯ 1.1 Основная профессиональная образовательная программа высшего образования (ОПОП ВО) специалитета, реализуемая вузом по специальности 080101 «Экономическая безопасность» и специализации «Экономика и организация производства на режимных объектах»1.2 Нормативные документы для разработки ОПОП ВО по специальности 080101 «Экономическая безопасность», специализации «Экономика и организация производства на режимных объектах» 1.3 Общая характеристика вузовской ОПОП ВО...»

«Министерство образования Республики Беларусь Учреждение образования «Международный государственный экологический университет имени А. Д. Сахарова» Факультет мониторинга окружающей среды Кафедра ядерной и радиационной безопасности Ю. Е. Крюк Индивидуальный дозиметрический контроль в промышленности и медицине Методическое пособие по одноименному курсу для студентов V курса специальностей: 1-33 01 03 «Радиоэкология» и 1-100 01 01 «Ядерная и радиационная безопасность» Минск УДК 614.87 ББК 31.4н К78...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ» Институт математики и компьютерных наук Кафедра информационной безопасности Захаров Александр Анатольевич ОТЕЧЕСТВЕННОЕ ЗАКОНОДАТЕЛЬСТВО ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ Учебно-методический комплекс. Рабочая программа для студентов специальности 10.05.03 Информационная безопасность...»

«Частное учреждение высшего образования Южно-Российский гуманитарный институт Ставропольский филиал МЕТОДИЧЕСКИЕ УКАЗАНИЯ по освоению дисциплины Безопасность жизнедеятельности (наименование дисциплины) Направление подготовки 38.03.02/080200.62 Менеджмент Профиль подготовки Менеджмент организаций Квалификация (степень) выпускника бакалавр Форма обучения очная, заочная Ставрополь, 2015 г. Методические указания по освоению дисциплины «Безопасность жизнедеятельности» содержат...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ» Институт математики и компьютерных наук Кафедра информационной безопасности Паюсова Татьяна Игоревна ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Учебно-методический комплекс. Рабочая программа для студентов специальности 10.05.01 Компьютерная безопасность, специализация «Безопасность распределенных...»

«Государственное автономное образовательное учреждение высшего профессионального образования города Москвы «МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ИНСТИТУТ ИНДУСТРИИ ТУРИЗМА ИМЕНИ Ю.А.СЕНКЕВИЧА (ГАОУ ВПО МГИИТ имени Ю.А. Сенкевича) КАФЕДРА ГОСТИНИЧНОГО ДЕЛА «Организация обеспечения безопасности гостиницы» Методические указания и контрольные задания для студентов заочной формы обучения для специальности 100201.65 Туризм Москва 2014 Методические указания составлены на основании ГОС ВПО, рабочего учебного...»

«ПОЛОЖЕНИЕ о порядке обучения и проверки знаний по охране труда работников федерального государственного автономного образовательного учреждения высшего профессионального образования «Казанский (Приволжский) федеральный университет» Положение о порядке обучения и проверки знаний по охране труда работников федерального государственного автономного образовательного учреждения высшего профессионального образования «Казанский (Приволжский) федеральный университет» 1. Назначение Положения 1.1....»







 
2016 www.metodichka.x-pdf.ru - «Бесплатная электронная библиотека - Методички, методические указания, пособия»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.