WWW.METODICHKA.X-PDF.RU
БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА - Методические указания, пособия
 


Pages:     | 1 ||

«Введение Настоящие Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с ...»

-- [ Страница 2 ] --

Разработчики модели угроз - специалисты в области защиты информации могут уточнить приведенный выше перечень средств атак. Рекомендуется указанное уточнение делать только в случае необходимости разработки нового типа криптосредства.

Описание каналов атак

С практической точки зрения этот раздел является одним из важнейших в модели нарушителя. Его содержание по существу определяется качеством формирования модели угроз верхнего уровня.

Основными каналами атак являются:

- каналы связи (как внутри, так и вне контролируемой зоны), не защищенные от НСД к информации организационно-техническими мерами;

- штатные средства.

Возможными каналами атак, в частности, могут быть:

- каналы непосредственного доступа к объекту атаки (акустический, визуальный, физический);

- машинные носители информации;

- носители информации, выведенные из употребления;

- технические каналы утечки;

- сигнальные цепи;

- цепи электропитания;

- цепи заземления;

- канал утечки за счет электронных устройств негласного получения информации;

- информационные и управляющие интерфейсы СВТ.

В тех случаях, когда модель угроз разрабатывается лицами, не являющимися специалистами в области защиты информации, рекомендуется ограничиться только приведенными выше основными каналами атак.

Разработчики модели угроз - специалисты в области защиты информации могут уточнить приведенный выше перечень каналов атак. Рекомендуется указанное уточнение делать только в случае необходимости разработки нового типа криптосредства.

–  –  –

Нарушитель относится к типу Нi, если среди предположений о его возможностях есть предположение, относящееся к нарушителям типа Нi и нет предположений, относящихся только к нарушителям типа Н j (j i).

–  –  –

4 Уровень криптографической защиты персональных данных, уровни специальной защиты от утечки по каналам побочных излучений и наводок и уровни защиты от несанкционированного доступа

4.1. Различают шесть уровней КС1, КС2, КС3, КВ1, КВ2, КА1 криптографической защиты персональных данных, не содержащих сведений, составляющих государственную тайну, определенных в порядке возрастания количества и жесткости предъявляемых к криптосредствам требований, и, соответственно, шесть классов криптосредств, также обозначаемых через КС1, КС2, КС3, КВ1, КВ2, КА1.

Уровень криптографической защиты персональных данных, обеспечиваемой криптосредством, определяется оператором путем отнесения нарушителя, действиям которого должно противостоять криптосредство, к конкретному типу.

При отнесении заказчиком нарушителя к типу Н1 криптосредство должно обеспечить криптографическую защиту по уровню КС1, к типу Н2 - КС2, к типу Н3

- КС3, к типу Н4 - КВ1, к типу Н5 - КВ2, к типу Н6 - КА1.

4.2. Различают три уровня КС, КВ и КА специальной защиты от утечки по каналам побочных излучений и наводок при защите персональных данных с использованием криптосредств.

При отнесении нарушителя к типу Н1 - Н3 должна быть обеспечена специальная защита по уровню КС, к типу Н4 - Н5 - по уровню КВ, к типу Н6 - по уровню КА.

4.3. В случае принятия оператором решения о защите персональных данных в информационной системе от несанкционированного доступа в соответствии с нормативными документами ФСБ России различают шесть уровней АК1, АК2, АК3, АК4, АК5, АК6 защиты от несанкционированного доступа к персональным данным в информационных системах, определенных в порядке возрастания количества и жесткости предъявляемых к системам защиты требований, и, соответственно, шесть классов информационных систем, также обозначаемых через АК1, АК2, АК3, АК4, АК5, АК6.

При отнесении заказчиком нарушителя к типу Н1 в информационной системе должна быть обеспечена защита от несанкционированного доступа к персональным данным по уровню АК1, к типу Н2 - по уровню АК2, к типу Н3 - по уровню АК3, к типу Н4 - по уровню АК4, к типу Н5 - по уровню АК5, к типу Н6 по уровню АК6.

–  –  –

5.1. Встраивание криптосредств класса КС1 и КС2 осуществляется без контроля со стороны ФСБ России (если этот контроль не предусмотрен техническим заданием на разработку (модернизацию) информационной системы).

Встраивание криптосредств класса КС3, КВ1, КВ2 и КА1 осуществляется только под контролем со стороны ФСБ России.

5.2. Встраивание криптосредств класса КС1, КС2 или КС3 может осуществляться либо самим пользователем криптосредства при наличии соответствующей лицензии ФСБ России, либо организацией, имеющей соответствующую лицензию ФСБ России.

Встраивание криптосредства класса КВ1, КВ2 или КА1 осуществляется организацией, имеющей соответствующую лицензию ФСБ России.

5.3. В ходе контроля со стороны ФСБ России встраивания криптосредства могут решаться, в частности, следующие задачи:

- проверка требований документации на криптосредство, относящихся к встраиванию криптосредства, в том числе:

o анализ корректности встраивания;

o анализ правильности функционирования системы управления ключами;

экспериментальная проверка работоспособности криптосредства и правильности выполнения возложенных на него целевых функций;

- оценка влияния технических и программных средств, совместно с которыми предполагается штатное функционирование криптосредства, на выполнение предъявляемых к криптосредству требований.

Методика и программа контроля встраивания криптосредства разрабатываются и (или) обосновываются специализированной организацией, проводящей тематические исследования криптосредства, и согласовываются с ФСБ России.

–  –  –

_____________________________

*(1) ГОСТ 34.003-90.

*(2) ГОСТ Р 51624-2000.

*(3) Закон Российской Федерации "О безопасности".

*(4) Федеральный закон "О персональных данных".

*(5) Федеральный закон "Об информации, информационных технологиях и о защите информации".

*(6) Закон Российской Федерации "О безопасности".

*(7) В. Дорот, Ф. Новиков "Толковый словарь современной компьютерной лексики", СПб., БХВ-Петербург, 2004.

*(8) Федеральный закон "Об информации, информационных технологиях и о защите информации".

*(9) Федеральный закон "Об информации, информационных технологиях и о защите информации".

*(10) Федеральный закон "О персональных данных".

*(11) Федеральный закон "Об информации, информационных технологиях и о защите информации".

*(12) Федеральный закон "Об информации, информационных технологиях и о защите информации".

*(13) Федеральный закон "О персональных данных".

*(14) ГОСТ Р 51624-2000.

*(15) Федеральный закон "Об информации, информационных технологиях и о защите информации".

*(16) Федеральный закон "О персональных данных".

*(17) "Положение о разработке, производстве, реализации и шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", зарегистрировано Минюстом России (регистрационный N 6382 от 3 марта 2005 года) *(18) Данное определение является обобщением определения понятия "недокументированные (недекларированные) возможности ПО", приведенного в Руководящем документе Гостехкомиссии России. "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларируемых возможностей" (введен в действие Приказом Председателя Гостехкомиссии России N 114 от 04.06.1999).

*(19) Закон Российской Федерации "О безопасности".

*(20) Федеральный закон "О персональных данных".

*(21) Федеральный закон "Об информации, информационных технологиях и о защите информации".

*(22) Федеральный закон "О персональных данных".

*(23) Федеральный закон "О персональных данных".

*(24) ГОСТ Р 51275-99.

ГАРАНТ:

Приказом Ростехрегулирования от 27 декабря 2006 г. N 374-ст действие ГОСТ Р 51275-99 на территории РФ отменено с 1 февраля 2008 г.

*(25) Федеральный закон "О персональных данных".

*(26) Федеральный закон "О персональных данных".

*(27) Федеральный закон "О персональных данных".

*(28) ГОСТ Р 50922-96.

ГАРАНТ:

Приказом Ростехрегулирования от 27 декабря 2006 г. N 373-ст действие ГОСТ Р 50922-96 на территории РФ отменено с 1 февраля 2008 г.

*(29) ГОСТ Р 50739-95.

*(30) Федеральный закон "О персональных данных".

*(31) Закон Российской Федерации "О безопасности".

*(32) Федеральный закон "О персональных данных".

*(33) Постановление Правительства Российской Федерации от 23 сентября 2002 года N 691 "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами" (Собрание законодательства Российской Федерации, 2002 г., N 39, ст. 3792).

*(34) Собрание законодательства Российской Федерации 2007, N 48, часть II, ст. 6001.

*(35) Неотказуемость - способность доказать, что действие или событие произошло таким образом, что факт действия или события не может быть опровергнут (ИСО 7498-2:99 и ИСО 13888-1:2004).

*(36) Учетность

- свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта (ИСО 7498-2:99);

- обеспечение того, что действия субъекта по отношению к объекту могут быть прослежены уникально по отношению к субъекту.

*(37) Аутентичность

- свойство обеспечения идентичности субъекта или ресурса заявленной идентичности. Аутентичность применяется к таким субъектам как пользователи, процессы, системы и информация (ISO/IEC 13335-1:2004);

- идентичность объекта тому, что заявлено.

*(38) Адекватность - свойство соответствия преднамеренному поведению и результатам (ISO/IEC 13335-1:2004).



Pages:     | 1 ||

Похожие работы:

«ЛИСТ СОГЛАСОВАНИЯ от 20.06.2015 Рег. номер: 1982-1 (08.06.2015) Дисциплина: Системы электронного документооборота Учебный план: 10.03.01 Информационная безопасность/4 года ОДО Вид УМК: Электронное издание Инициатор: Бажин Константин Алексеевич Автор: Бажин Константин Алексеевич Кафедра: Кафедра информационной безопасности УМК: Институт математики и компьютерных наук Дата заседания 30.03.2015 УМК: Протокол №6 заседания УМК: Дата Дата Результат Согласующие ФИО Комментарии получения согласования...»

«Программа обучения (повышения квалификации) работников, осуществляющих обучение различных групп населения в области ГО и защиты от ЧС в учебно-методическом центре по гражданской обороне и чрезвычайным ситуациям казенного учреждения Воронежской области «Гражданская оборона, защита населения и пожарная безопасность Воронежской области»1. Пояснительная записка Программа обучения (повышения квалификации) работников, осуществляющих обучение различных групп населения в области ГО и защиты от ЧС в...»

«Негосударственное образовательное учреждение высшего образования Московский технологический институт ПРОГРАММА ПОДГОТОВКИ СПЕЦИАЛИСТОВ СРЕДНЕГО ЗВЕНА по специальности 10.02.02 «Информационная безопасность телекоммуникационных систем» базовой подготовки Квалификация – техник по защите информации Москва СОДЕРЖАНИЕ I. Общие положения 1.1. Программа подготовки специалистов среднего звена (ППССЗ), реализуемая Негосударственным образовательным учреждением высшего образования Московским...»

«СОДЕРЖАНИЕ 1. Общие положения............................................................ 3 1.1. Основная образовательная программа бакалавриата (ООПб) по профилю «Организация и безопасность дорожного движения»..............................3 1.2. Нормативные документы для разработки ООПб............................. 3 1.3. Общая характеристика.....................»

«ЛИСТ СОГЛАСОВАНИЯ от 20.06.2015 Рег. номер: 2093-1 (08.06.2015) Дисциплина: Технологии и методы программирования Учебный план: 090900.62 Информационная безопасность/4 года ОДО Вид УМК: Электронное издание Инициатор: Широких Андрей Валерьевич Автор: Широких Андрей Валерьевич Кафедра: Кафедра информационной безопасности УМК: Институт математики и компьютерных наук Дата заседания 30.03.2015 УМК: Протокол №6 заседания УМК: Дата Дата Результат Согласующие ФИО Комментарии получения согласования...»

«СОДЕРЖАНИЕ Стр.1. Система управления и содержание деятельности кафедры безопасность жизнедеятельности 1.1. Организационно-правовая деятельность кафедры 1.2. Система управления 1.3. Наличие и качество разработки документации 2. Образовательнвя деятельность 2.1. Характеристика профессиональной образовательной программы.. 2.2.1 Учебный план.. 2.2.2. Дисциплины, читаемые профессорско-преподавательским составом кафедры.. 2.2.3. Учебные программы дисциплин и практик, диагностические средства.....»

«Негосударственное образовательное учреждение высшего профессионального образования «Русско-Британский Институт Управления» (НОУВПО РБИУ) Кафедра международного сервиса и туризма Аксель Е.В. МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПО ВЫПОЛНЕНИЮ ЛАБОРАТОРНЫХ РАБОТ ПО ДИСЦИПЛИНЕ «ЕСТЕСТВОЗНАНИЕ (ХИМИЯ С ЭЛЕМЕНТАМИ ЭКОЛОГИИ)» Практикум Челябинск 2015 Методические указания Методические указания по выполнению лабораторных работ по дисциплине «Естествознание (Химия с элементами экологии)» для обучающихся по...»







 
2016 www.metodichka.x-pdf.ru - «Бесплатная электронная библиотека - Методички, методические указания, пособия»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.