Механизмы безопасности
ФСТЭК и его роль в обеспечении информационной безопасности в РФ
В Российской Федерации информационная безопасность обеспечивается соблюдение указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов ФСТЭК России и других нормативных документов.
Наиболее общие документы были рассмотрены ранее при изучении правовых основ информационной безопасности. В РФ с точки зрения стандартизации положений в сфере информационной безопасности первостепенное значение имеют руководящие документы (РД) ФСТЭК России, одной из задач которой является "проведение единой государственной политики в области технической защиты информации".
ФСТЭК России ведет весьма активную нормотворческую деятельность, выпуская руководящие документы, играющие роль национальных оценочных стандартов в области информационной безопасности. В качестве стратегического направления ФСТЭК России выбрала ориентацию на "Общие критерии".
За 10 лет своего существования ФСТЭК разработала и довела до уровня национальных стандартов десятки документов, среди которых:
1. Руководящий документ "Положение по аттестации объектов информатизации по требованиям безопасности информации" (Утверждено Председателем ФСТЭК России 25.11.1994 г.).
2. Руководящий документ "Автоматизированные системы (АС). Защита от несанкционированного доступа (НСД) к информации. Классификация АС и требования к защите информации" (ФСТЭК России, 1997 г.).
3. Руководящий документ "Средства вычислительной техники. Защита от НСД к информации. Показатели защищенности от НСД к информации" (ФСТЭК России, 1992 г.).
4. Руководящий документ "Концепция защиты средств вычислительной техники от НСД к информации" (ФСТЭК России, 1992 г.).
5. Руководящий документ "Защита от НСД к информации. Термины и определения" (ФСТЭК России, 1992 г.).
6. Руководящий документ "Средства вычислительной техники (СВТ). Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации" (ФСТЭК России, 1997 г.).
7. Руководящий документ "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (ФСТЭК России, 1999 г.).
8. Руководящий документ "Специальные требования и рекомендации по технической защите конфиденциальной информации" (ФСТЭК России, 2001 г.).
В Х.800 определены следующие сетевые механизмы безопасности:
· шифрование;
· электронная цифровая подпись;
· механизм управления доступом;
· механизм контроля целостности данных;
· механизм аутентификации;
· механизм дополнения трафика;
· механизм управления маршрутизацией;
· механизм нотаризации (заверения).
Следующая таблица иллюстрирует, какие механизмы (по отдельности или в комбинации с другими) могут использоваться для реализации той или иной функции.
Таблица 1 - Взаимосвязь функций и механизмов безопасности
Функции | Механизмы | |||||||
Шифрование | Электронная подпись | Управление доступом | Целостность | Аутентификация | Дополнение трафика | Управление маршрутизацией | Нотаризация | |
Аутентификация партнеров | + | + | - | - | + | - | - | - |
Аутентификация источника | + | + | - | - | - | - | - | - |
Управление доступом | - | - | + | - | - | - | - | - |
Конфиденциальность | + | - | + | - | - | - | + | - |
Избирательная конфиденциальность | + | - | - | - | - | - | - | - |
Конфиденциальность трафика | + | - | - | - | - | + | + | - |
Целостность соединения | + | - | - | + | - | - | - | - |
Целостность вне соединения | + | + | - | + | - | - | - | - |
Неотказуемость | - | + | - | + | - | - | - | + |
"+" механизм используется для реализации данной функцию безопасности;
"-" механизм не используется для реализации данной функции безопасности.
Так, например, "Конфиденциальность трафика" обеспечивается "Шифрованием", "Дополнением трафика" и "Управлением маршрутизацией".