Классы защищенности вычислительной техники
Под СВТ (средства вычислительной техники) понимается
совокупность программных и технических элементов систем обработки данных,
способных функционироватьсамостоятельноили в составе других систем.
Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс – седьмой, самый высокий – первый.
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
Классы подразделяются на четыре группы, отличающиеся качественным уровнем защиты:
- Первая группа содержит только один седьмой класс;
- Вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;
- Третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;
- Четвертая группа характеризуется верифицированной защитой и содержит только первый класс.
Выбор класса защищенности СВТ для автоматизированных систем, создаваемых на базе защищенных СВТ, зависит от грифа секретности обрабатываемой вАС информации,
условий эксплуатации и расположения объектов системы.
Применение в комплекте СВТ средств криптографической защиты информации по ГОСТ 28147-89 может
быть использовано для повышения гарантий качества защиты.
Показатели защищенности и установленные требования к классам приведены в таблице:
Обозначения:
- «-» – нет требований к данному классу;
- «+» – новые или дополнительные требования;
- «=» – требования совпадают с требованиями к СВТ предыдущего класса;
Конкретные требования, предъявляемые к различным классам СВТ изложены в соответствующем документе ГТК.
Оценка класса защищенности СВТ проводится группой экспертов.
Эксперты должны знать все нормативные требования и документы по проблемам защиты СВТ от НСД к информации, назначение и функционирование СВТ и пройти соответствующую аттестацию на допуск к таким работам.
Оценка класса защищенности СВТ проводится группой экспертов.
Эксперты должны знать все нормативные требования и документы по проблемам защиты СВТ от НСД к информации, назначение и функционирование СВТ и пройти соответствующую аттестацию на допуск к таким работам.
Выполняется два вида работ:
- оценка проекта;
- оценка класса защищенности СВТ.
Оценка проекта (создаваемого СВТ или модернизируемого с целью повышения уровня защищенности) проводится путем всестороннего
изучения конструкторской (проектной) документации на СВТ и ее соответствия требованиям заданного класса защищенности..
Результат – предварительное техническое заключение экспертов о достаточности предлагаемых мер и соответствии предъявленным требованиям.
Результат – предварительное техническое заключение экспертов о достаточности предлагаемых мер и соответствии предъявленным требованиям.
Оценка класса защищенности СВТ проводится в два этапа:
- первый этап – изучают документацию к СВТ: описание принципов работы, описание ПРД, описание КСЗ, тесты, отчеты о проведенных исследованиях и другие документы. (Техническое заключение по данному этапу должно отражать соответствие описанных в документации свойств СВТ и предъявленных требований);
- второй этап – проводят всестороннее тестирование СВТ (как функциональное, так и на проникновение) по специальной программе и методике, а также оценку эффективности реализации средств защиты.
Испытания могут, при необходимости, дополняться в установленном порядке другими проверками, а также включать оценку тестов разработчика.
По итогам второго этапа оценки СВТ составляется техническое заключение, в котором излагается:
- описание комплекса средств защиты;
- оценка класса защищенности СВТ в соответствии с заданными показателями;
- наличие и соответствие дополнительных требований;
- аргументация оценки: объяснение соответствия КСЗ требованиям данных показателей, посредством каких средств обеспечивается выполнение каждого требования;
- описание испытаний, которым подвергалось СВТ (с указанием состава технических и программных средств);
- вывод о соответствии СВТ определенному классу защищенности и объяснение, почему СВТ не может быть сертифицировано по более высокому классу защищенности.