Классы защищенности средств вычислительной техники

Под СВТ (средства вычислительной техники) понимается совокупность программных и технических элементов систем обработки данных, способных функционироватьсамостоятельноили в составе других систем. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый.
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:

  • Первая группа содержит только один седьмой класс;
  • Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
  • Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
  • Четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой вАС информации, условий эксплуатации и расположения объектов системы. Применение в комплекте СВТ средств криптографической защиты информации по ГОСТ 28147-89 может быть использовано для повышения гарантий качества защиты.

Показатели защищенности и установленные требования к классам приведены в таблице:

Обозначения:

«-» – нет требований к данному классу;

«+» – новые или дополнительные требования;

«=» – требования совпадают с требованиями к СВТ предыдущего класса;


Конкретные требования, предъявляемые к различным классам СВТ изложены в соответствующем документе ГТК.

Оценка класса защищенности СВТ проводится группой экспертов.

Эксперты должны знать все нормативные требования и документы по проблемам защиты СВТ от НСД к информации, назначение и функционирование СВТ и пройти соответствующую аттестацию на допуск к таким работам.


Выполняется два вида работ:

  • оценка проекта;
  • оценка класса защищенности СВТ.
Оценка проекта (создаваемого СВТ или модернизируемого с целью повышения уровня защищенности) проводится путем всестороннего изучения конструкторской (проектной) документации на СВТ и ее соответствия требованиям заданного класса защищенности..

Результат – предварительное техническое заключение экспертов о достаточности предлагаемых мер и соответствии предъявленным требованиям.


Оценка класса защищенности СВТ проводится в два этапа:

  • первый этап – изучают документацию к СВТ: описание принципов работы, описание ПРД, описание КСЗ, тесты, отчеты о проведенных исследованиях и другие документы. (Техническое заключение по данному этапу должно отражать соответствие описанных в документации свойств СВТ и предъявленных требований);
  • второй этап – проводят всестороннее тестирование СВТ (как функциональное, так и на проникновение) по специальной программе и методике, а также оценку эффективности реализации средств защиты.
Испытания могут, при необходимости, дополняться в установленном порядке другими проверками, а также включать оценку тестов разработчика.


По итогам второго этапа оценки СВТ составляется техническое заключение, в котором излагается:

  • описание комплекса средств защиты;
  • оценка класса защищенности СВТ в соответствии с заданными показателями;
  • наличие и соответствие дополнительных требований;
  • аргументация оценки: объяснение соответствия КСЗ требованиям данных показателей, посредством каких средств обеспечивается выполнение каждого требования;
  • описание испытаний, которым подвергалось СВТ (с указанием состава технических и программных средств);
  • вывод о соответствии СВТ определенному классу защищенности и объяснение, почему СВТ не может быть сертифицировано по более высокому классу защищенности.




Меню направления деятельности