Подтверждение того что отправитель полученных данных соответствует заявленному
Перейти к содержимому

Подтверждение того что отправитель полученных данных соответствует заявленному

  • автор:

Подтверждение того что отправитель полученных данных соответствует заявленному

1. Термины и определения

В настоящем документе используются следующие термины и их определения:

Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.

Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа — программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы — технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных, или в помещениях, в которых установлены информационные системы персональных данных.

Доступ в операционную среду компьютера (информационной системы персональных данных) — получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации — возможность получения информации и ее использования.

Закладочное устройство — элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация — присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информативный сигнал — электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные), обрабатываемая в информационной системе персональных данных.

Информационная система персональных данных — это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Источник угрозы безопасности информации — субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Контролируемая зона — это пространство, в котором исключено неконтролируемое пребывание сотрудников и посетителей оператора и посторонних транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран — локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Нарушитель безопасности персональных данных — физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Недекларированные возможности — функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и (или) правил доступа к информации или действий с ней с применением штатных средств информационной системы или средств, аналогичных им по своим функциональному предназначению и техническим характеристикам.

Носитель информации — физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Перехват (информации) — неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Побочные электромагнитные излучения и наводки — электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Пользователь информационной системы персональных данных — лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка — скрытно внесенный в программное обеспечение функциональный объект, который при определенных условиях способен обеспечить несанкционированное программное воздействие. Программная закладка может быть реализована в виде вредоносной программы или программного кода.

Программное (программно-математическое) воздействие — несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Ресурс информационной системы — именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Средства вычислительной техники — совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) — лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технические средства информационной системы персональных данных — средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.

Технический канал утечки информации — совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам — неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость — некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации.

Целостность информации — состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

Политика
информационной безопасности информационных
систем персональных данных КГБУЗ ГП 16 Хабаровска

В настоящем документе используются следующие термины и их определения.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Аутентификация отправителя данных – подтверждение того, что отправитель полученных данных соответствует заявленному.

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Биометрические персональные данные – сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Вирус (компьютерный, программный) – исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа – программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы – технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.

Доступ в операционную среду компьютера (информационной системы персональных данных) – получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации – возможность получения информации и ее использования.

Закладное устройство – элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация– присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информативный сигнал – электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные) обрабатываемая в информационной системе персональных данных.

Информационная система персональных данных (ИСПДн) – совокупность содержащихся в базах персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Источник угрозы безопасности информации – субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран – локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Нарушитель безопасности персональных данных – физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Неавтоматизированная обработка персональных данных – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Недекларированные возможности – функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действие (операции) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор (персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Технические средства информационной системы персональных данных – средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Перехват (информации) – неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные– любая информация, относящаяся прямо или косвенно к определен­ному или определяемому физическому лицу (субъекту персональных данных.

Побочные электромагнитные излучения и наводки – электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Политика «чистого стола» – комплекс организационных мероприятий, контролирующих отсутствие записывания на бумажные носители ключей и атрибутов доступа (паролей) и хранения их вблизи объектов доступа.

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Программная закладка – код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

Программное (программно-математическое) воздействие – несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Раскрытие персональных данных – умышленное или случайное нарушение конфиденциальности персональных данных.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, сведения о судимости и интимной жизни субъекта персональных данных.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технический канал утечки информации – совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Трансграничная передача персональных данных – передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость – слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.

Целостность информации – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Обозначения и сокращения

АВС – антивирусные средства

АРМ – автоматизированное рабочее место

ВТСС – вспомогательные технические средства и системы

ИСПДн – информационная система персональных данных

КЗ – контролируемая зона

ЛВС – локальная вычислительная сеть

МЭ – межсетевой экран

НСД – несанкционированный доступ

ОС – операционная система

ПДн – персональные данные

ПМВ – программно-математическое воздействие

ПО – программное обеспечение

ПЭМИН – побочные электромагнитные излучения и наводки

САЗ – система анализа защищенности

СЗИ – средства защиты информации

СЗПДн – система (подсистема) защиты персональных данных

СОВ – система обнаружения вторжений

ТКУИ – технические каналы утечки информации

УБПДн – угрозы безопасности персональных данных

Введение

Настоящая Политика информационной безопасности ИСПДн краевое государственное бюджетное учреждение здравоохранения «Городская поликлиника №16» министерства здравоохранения Хабаровского края (далее – Поликлиника) является официальным документом.

Политика разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных изложенных в Концепции информационной безопасности ИСПДн Поликлиники.

Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и Постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», на основании следующих документов:

  • «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утв. Директором ФСТЭК России от 18 февраля 2013 г.№ 21.
  • «Типовых требований по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае из использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных руководством 8 Центра ФСБ России 21.02.2008 г. № 149/6/6-662.

В Политике определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн Поликлиники.

1. Общие положения

Целью настоящей Политики является обеспечение безопасности объектов защиты Поликлиники от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн)результатом которых может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Обеспечение безопасности персональных данных достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

2) применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

3) применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

4) оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5) учетом машинных носителей персональных данных;

6) обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

7) восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

8) установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

9) контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

В Поликлинике назначается лицо, ответственное за организацию обработки персональных данных.

Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:

1) осуществлять внутренний контроль за соблюдением сотрудниками Поликлиники законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;

2) доводить до сведения работников Поликлиники положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;

3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах назначается должностное лицо, ответственное за обеспечение безопасности персональных данных и администратор безопасности информации.

Состав персональных данных представлен в Перечне персональных данных, подлежащих защите, утвержденном главным врачем Поликлиники.

Состав ИСПДн Поликлиники подлежащих защите:

  • Краевое государственное бюджетное учреждение здравоохранения «Городская поликлиника No 16» министерства здравоохранения Хабаровского края в г. Хабаровске в дальнейшем именуемый Поликлиника

Требования настоящей Политики распространяются на всех работников Поликлиники (штатных, временных, работающих по договору и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.).

2. Система защиты персональных данных

Система защиты персональных данных (СЗПДн), строится на основании:

  • Отчета по результатам обследования(внутренней проверки) информационных систем персональных данных;
  • Перечня персональных данных, обрабатываемых в Поликлинике;
  • Акта установления уровня защищенности персональных данных;
  • Модели нарушителя и угроз безопасности персональных данных;
  • Положения о разграничении прав доступа к обрабатываемым персональным данным;
  • Действующего законодательства Российской Федерации в области защиты информации;
  • Руководящих документов ФСТЭК,ФСБ России и РОСКОМНАДЗОР.

На основании этих документов определяется необходимый уровень защищенности ПДн ИСПДн Поликлиники. На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз и Отчета по результатам обследования (внутренней проверки) информационных систем персональных данных, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприятия отражаются в Плане мероприятий по обеспечению защиты ПДн.

Для ИСПДн должен быть определен состав используемых технических средств защиты, а так же программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн: АРМ пользователей; сервера приложений; СУБД; граница ЛВС; каналов передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.

В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:

  • программные, программно-аппаратные комплексы защиты от НСД к информации;
  • антивирусные средства для рабочих станций пользователей и серверов;
  • средства межсетевого экранирования;
  • средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.

Технические средства защиты персональных данных применяемые для нейтрализации актуальных угроз должны реализовывать меры защиты, включающие:

  • идентификацию и аутентификацию субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защиту машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее — машинные носители персональных данных);
  • регистрацию событий безопасности;
  • антивирусную защиту;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности персональных данных;
  • обеспечение целостности информационной системы и персональных данных;
  • обеспечение доступности персональных данных;
  • защиту среды виртуализации;
  • защиту технических средств;
  • защиту информационной системы, ее средств, систем связи и передачи данных;
  • выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее — инциденты), и реагирование на них;
  • управление конфигурацией информационной системы и системы защиты персональных данных.

Учет используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Журнал учета сертифицированных средств защиты информации, эксплуатационной и технической документации к ним.

3. Пользователи ИСПДН

В Концепции информационной безопасности определены основные категории пользователей. На основании этих категории должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможностей.

В ИСПДн Поликлиники можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:Администратор ИСПДн;Администратор безопасности информации (далее – Администратор);Пользователи ИСПДн.

Данные о группах пользователях, уровне их доступа и информированности должен быть отражен в Положении о разграничении прав доступа к обрабатываемым персональным данным.

4. Требования к персоналу по обеспечению защиты ПДн

Все работники Поликлиники, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

При вступлении в должность нового работника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.

Работник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.

Работники Поликлиники, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.

Работники Поликлиники должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей(если не используются технические средства аутентификации).

Работники Поликлиники должны обеспечивать надлежащую защиту оборудования, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, а также свои обязанности по обеспечению такой защиты.

Работникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

Работникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационной системой Поликлиники, третьим лицам.

При работе с ПДн в ИСПДн работники Поликлиники обязаны не допускать просмотр ПДн третьими лицами с мониторов АРМ.

При завершении работы с ИСПДн работники обязаны защитить АРМ с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.

Работники Поликлиники должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.

Работники обязаны сообщать обо всех случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и/или лицу, отвечающему за защиту персональных данных в ИСПДн.

5. Должностные и функциональные обязанности пользователей ИСПДн

Должностные обязанности пользователей ИСПДн описаны в следующих документах:

  • Должностная инструкция ответственного за организацию обработки персональных данных.
  • Должностной регламент ответственного за обеспечение безопасности персональных данных в информационных системах персональных данных
  • Инструкция администратора безопасности информации;
  • Инструкция администратора ИСПДн;
  • Инструкция пользователя ИСПДн;
  • Инструкция пользователя при возникновении внештатных ситуаций;
  • Инструкция о порядке учета и хранения съемных машинных носителей персональных данных, используемых в информационной системе персональных данных;
  • Функциональные обязанности ответственного пользователя криптосредств;
  • Функциональные обязанности пользователя криптосредств.

6. Ответственность сотрудников Поликлиники

В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 УК РФ).

СОГЛАСИЕ н
а обработку персональных данных

г. Хабаровск «___» _____________ 20___ г.

Ф.И.О. пациента (представителя пациента)

адрес регистрации __________________________________________, адрес проживания ________________________________________________,

серия, номер, когда и кем выдан, код подразделения

реквизиты документа, подтверждающего полномочия представителя ________________________________________________________________

даю согласие Краевому государственному бюджетному учреждению «Городская поликлиника № 16» министерства здравоохранения Хабаровского края (КГБУЗ ГП 16 Хабаровска), адрес: 680045, г. Хабаровск, ул. Королева, 12 В, на обработку (любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) моих персональных данных (персональных данных представляемого мною лица) с целью медицинского учета:

— фамилия, имя, отчество, дата и место рождения;

— адрес регистрации по месту жительства и фактического проживания;

— данные паспорта либо иного документа, удостоверяющего личность (серия, номер, когда и кем выдан, код подразделения);

— наименование страховой медицинской организации и реквизиты выданного ею полиса ОМС;

— номер страхового свидетельства обязательного пенсионного страхования;

— место работы, профессия, должность;

— информация о состоянии здоровья, в том числе сведения о факте обращения за медицинской помощью, диагнозе заболевания и

любые другие сведения, полученные при обследовании и лечении.

Одновременно я даю согласие на обработку моих персональных данных (персональных данных представляемого мною лица), согласно указанному выше объему и перечню действий, на информационных ресурсах автоматизированной системы Краевого государственного бюджетного учреждения «Медицинский информационно-аналитический центр» министерства здравоохранения Хабаровского края (КГБУЗ «МИАЦ», адрес: 680000, г. Хабаровск, ул. Истомина, 51).

Я подтверждаю, что настоящее согласие на обработку персональных данных действует со дня его подписания мною в течение всего срока получения медицинской помощи в КГБУЗ ГП 16 Хабаровска.

Я ознакомлен с тем, что настоящее согласие на обработку персональных данных может быть отозвано мною на основании письменного заявления в произвольной форме.

подпись, Ф.И.О. пациента (представителя пациента)

Телефоны «Горячей линии» по вопросам Льготного Лекарственного Обеспечения
Министрество здравоохранения Хабаровского края (4212) 402-201, пункт голосового меню 4
режим работы с 09.00 по 18.00
по вопросам наличия лекартсвенных препаратов в аптечной сети ХКГУП «Фармация»
(4212) 46-18-94
Филиал по адресу ул. Радищева, 16 8-966-593-17-85
Филиал по адресу ул. Королёва, 12в 8-966-593-17-79
Филиал по адресу ул. Ленина, 21 8-966-593-17-84
Отвественный по вопросам ЛЛО, заместитель главного врача по лечебной части
(4212) 37-42-37

Телефоны «Горячей линии» по вопросам противодействия
коррупции в сфере здравоохранения

Министрество здравоохранения Хабаровского края (4212) 30-82-19
УВД по Хабаровскому краю (4212) 38-11-92
СУ СК РФ по Хабаровскому краю (4212) 73-21-21

Телефоны «Горячей линии» МЗ Хабаровского края
Запись на прием к врачу в электронном виде: (4212) 91-05-05
Оказание высокотехнологичной медицинской помощи и лечение за пределами России: (4212) 402-000 (доб 2798#)
Организация лекарственного обеспечения: (4212) 402-201

Телефоны «Горячей линии» министерства социальной защиты
населения Хабаровского края

По вопросам доступности объектов и услуг для граждан, имеющих инвалидность:
(4212) 32-76-30

Защита персональных данных

В настоящем документе используются следующие термины и их определения.

Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.

Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Биометрические персональные данные — сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность, включая фотографии, отпечатки пальцев, образ сетчатки глаза, особенности строения тела и другую подобную информацию.

Блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Вирус (компьютерный, программный) — исполняемый программный код или интерпретируемый набор инструкций, обладающий свойствами несанкционированного распространения и самовоспроизведения. Созданные дубликаты компьютерного вируса не всегда совпадают с оригиналом, но сохраняют способность к дальнейшему распространению и самовоспроизведению.

Вредоносная программа — программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на персональные данные или ресурсы информационной системы персональных данных.

Вспомогательные технические средства и системы — технические средства и системы, не предназначенные для передачи, обработки и хранения персональных данных, устанавливаемые совместно с техническими средствами и системами, предназначенными для обработки персональных данных или в помещениях, в которых установлены информационные системы персональных данных.

Доступ в операционную среду компьютера (информационной системы персональных данных) — получение возможности запуска на выполнение штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации — возможность получения информации и ее использования.

Закладочное устройство — элемент средства съема информации, скрытно внедряемый (закладываемый или вносимый) в места возможного съема информации (в том числе в ограждение, конструкцию, оборудование, предметы интерьера, транспортные средства, а также в технические средства и системы обработки информации).

Защищаемая информация — информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Идентификация — присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информативный сигнал — электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта конфиденциальная информация (персональные данные) обрабатываемая в информационной системе персональных данных.

Информационная система персональных данных (ИСПДн) — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Источник угрозы безопасности информации — субъект доступа, материальный объект или физическое явление, являющиеся причиной возникновения угрозы безопасности информации.

Контролируемая зона – пространство (территория, здание, часть здания, помещение), в котором исключено неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных материальных средств.

Конфиденциальность персональных данных — обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Межсетевой экран — локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в информационную систему персональных данных и (или) выходящей из информационной системы.

Нарушитель безопасности персональных данных — физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности персональных данных при их обработке техническими средствами в информационных системах персональных данных.

Неавтоматизированная обработка персональных данных — обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Недекларированные возможности — функциональные возможности средств вычислительной техники, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации.

Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых информационными системами персональных данных.

Носитель информации — физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор (персональных данных) — государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Технические средства информационной системы персональных данных — средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки ПДн (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации, применяемые в информационных системах.

Перехват (информации) — неправомерное получение информации с использованием технического средства, осуществляющего обнаружение, прием и обработку информативных сигналов.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Побочные электромагнитные излучения и наводки — электромагнитные излучения технических средств обработки защищаемой информации, возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях, а также электромагнитные наводки этих сигналов на токопроводящие линии, конструкции и цепи питания.

Политика «чистого стола» — комплекс организационных мероприятий, контролирующих отсутствие записывания на бумажные носители ключей и атрибутов доступа (паролей) и хранения их вблизи объектов доступа.

Пользователь информационной системы персональных данных — лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Программная закладка — код программы, преднамеренно внесенный в программу с целью осуществить утечку, изменить, блокировать, уничтожить информацию или уничтожить и модифицировать программное обеспечение информационной системы персональных данных и (или) блокировать аппаратные средства.

Программное (программно-математическое) воздействие — несанкционированное воздействие на ресурсы автоматизированной информационной системы, осуществляемое с использованием вредоносных программ.

Раскрытие персональных данных — умышленное или случайное нарушение конфиденциальности персональных данных.

Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Ресурс информационной системы — именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Специальные категории персональных данных — персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья и интимной жизни субъекта персональных данных.

Средства вычислительной техники — совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) — лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технический канал утечки информации — совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.

Трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Угрозы безопасности персональных данных — совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Утечка (защищаемой) информации по техническим каналам — неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации.

Уязвимость — слабость в средствах защиты, которую можно использовать для нарушения системы или содержащейся в ней информации.

Целостность информации — способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Центр — медицинский центр ФГБУ «НМИЦ им. В. А. Алмазова» Минздрава России.

Обозначения и сокращения

АВС — антивирусные средства
АРМ — автоматизированное рабочее место
ВТСС — вспомогательные технические средства и системы
ИСПДн — информационная система персональных данных
КЗ — контролируемая зона
ЛВС — локальная вычислительная сеть
МЭ — межсетевой экран
НСД — несанкционированный доступ
ОС — операционная система
ПДн — персональные данные
ПМВ — программно-математическое воздействие
ПО — программное обеспечение
ПЭМИН — побочные электромагнитные излучения и наводки
САЗ — система анализа защищенности
СЗИ — средства защиты информации
СЗПДн — система (подсистема) защиты персональных данных
СОВ — система обнаружения вторжений
ТКУИ — технические каналы утечки информации
УБПДн — угрозы безопасности персональных данных

Настоящая Политика информационной безопасности (далее — Политика) ФГБУ «НМИЦ им. В. А. Алмазова» Минздрава России (далее — Центра) разработана в соответствии с требованиями Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ на основании:

«Методических рекомендаций для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости», утверждённых Директором Департамента информатизации Министерства здравоохранения и социального развития 23.12.2009 г. и согласованных с начальником 2 Управления ФСТЭК России 22.12.2009 г., и является официальным документом.

В Политике определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн Центра.

1. Общие положения
Целью настоящей Политики является обеспечение безопасности объектов защиты Центра от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн).

Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Построение подсистемы информационной безопасности автоматизированной системы и ее функционирование осуществляется в соответствии со следующими основными принципами:

  • Законность. Предполагает осуществление защитных мероприятий и разработку подсистемы информационной безопасности ИСПДн в соответствии с законодательством в области информации, информационных технологий и защиты информации, руководящими документами Минздрава России, ФСБ России и ФСТЭК России, а также в соответствии с внутренними документами Центра.
  • Системность. Системный подход к построению подсистемы информационной безопасности в ИСПДн предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения безопасности информации в ИСПДн.
    При создании подсистемы информационной безопасности ИСПДн должны учитываться все слабые и наиболее уязвимые места системы поиска, сбора, хранения, обработки, предоставления, распространения ПДн, возможности появления принципиально новых путей реализации угроз информационной безопасности.
  • Комплексность. Комплексное использование методов и средств защиты АС предполагает согласованное применение разнородных средств при построении целостной подсистемы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
  • Непрерывность защиты. Защита ПДн — непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с ранних стадий проектирования, разработки, испытания, внедрения и эксплуатации автоматизированных систем (подсистем).
  • Своевременность. Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите АС и реализацию мер обеспечения безопасности информации на ранних стадиях разработки АС в целом и ее подсистемы защиты информации.
    В частности разработка подсистемы защиты ПДн должна вестись параллельно с разработкой и развитием самой информационной системы.
  • Преемственность и совершенствование. Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования АС и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
  • Разумная достаточность (экономическая целесообразность, сопоставимость возможного ущерба и затрат). Предполагает соответствие уровня затрат на обеспечение безопасности ПДн, ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы АС, в которой эта информация циркулирует. Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы сведены до минимума (задача анализа риска).
  • Персональная ответственность. Предполагает возложение ответственности за обеспечение безопасности ПДн и системы их обработки на каждого работника Центра в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей работников строится таким образом, чтобы в случае любого нарушения Политики, круг виновных лиц был четко известен или сведен к минимуму.
  • Принцип минимизации полномочий. Означает предоставление работникам Центра, привлекаемым специалистам минимальных прав доступа в соответствии со служебной или производственной необходимостью. Доступ к информации должен предоставляться только в объеме, необходимом работнику Центра (привлекаемому специалисту) для выполнения его должностных обязанностей.
  • Гибкость системы защиты. Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систему, не нарушая процесса ее нормального функционирования.
  • Открытость алгоритмов и механизмов защиты. Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это, однако, не означает, что информация о конкретной системе защиты должна быть общедоступна.
  • Простота применения средств защиты. Механизмы защиты должны быть интуитивно понятны и просты в использовании. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных установленным порядком пользователей.
  • Обязательность контроля. Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных политик (правил) обеспечения безопасности ПДн, на основе используемых систем и средств защиты информации, при совершенствовании критериев и методов оценки эффективности этих систем и средств.
    Контроль над деятельностью любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

Политика призвана обеспечить и постоянно поддерживать следующие свойства информации в ИСПДн:

  • Целостность и аутентичность информации, хранимой и обрабатываемой в ИСПДн.
  • Своевременное обнаружение и реагирование на УБПДн.
  • Конфиденциальность информации ограниченного доступа и служебной информации, хранимой и обрабатываемой СВТ.
  • Доступность хранимой и обрабатываемой информации для законных пользователей (устойчивого функционирования ИСПДн, при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время).
  • Предоставить обзор требований к информационной безопасности ИСПДн и к отдельным ее компонентам.
  • Описать действия над существующими подсистемами и планируемые изменения в них с целью приведения к соответствию указанным требованиям.
  • Описать правила поведения и ответственность пользователей, имеющих доступ к ИСПДн.

2. Область действия

Настоящий документ определяет политику информационной безопасности на объекте информатизации Центра. Положения документа распространяются на все информационные системы, средства коммуникаций и помещения объекта информатизации, и обязательны для исполнения всеми работниками Центра (штатными, временными, работающими по контракту и т. п.), а также всеми прочими лицами (подрядчиками, аудиторами и т. п.).

3. Система защиты персональных данных

Система защиты персональных данных (СЗПДн), строится на основании:

  • положений законодательства Российской Федерации,
  • нормативно-методических документов ФСБ России и ФСТЭК России,
  • отчёта о результатах проведения внутренней проверки,
  • перечня персональных данных, подлежащих защите,
  • акта классификации информационных систем персональных данных,
  • модели угроз безопасности персональных данных,
  • положения о разграничении прав доступа к обрабатываемым ПДн.

На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн Центра. На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз и Отчета о результатах проведения внутренней проверки, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн. Выбранные необходимые мероприятия отражаются в Плане мероприятий по обеспечению защиты ПДн.

Для каждой ИСПДн должен быть составлен список используемых технических средств защиты, а так же программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн:

  • АРМ пользователей,
  • сервера приложений,
  • СУБД,
  • граница ЛВС,
  • каналов передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.

В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн могут включать следующие технические средства:

  • антивирусные средства для рабочих станций пользователей и серверов,
  • средства межсетевого экранирования,
  • средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.

Так же, в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:

  • управление и разграничение прав доступа пользователей,
  • регистрацию и учет действий с информацией,
  • обеспечивать целостность данных,
  • производить поиск обнаружения вторжений.

Список используемых технических средств отражается в «Плане мероприятий по обеспечению защиты персональных данных». Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены директором Центра или лицом, ответственным за обеспечение защиты ПДн.

4. Требования к подсистемам СЗПДн

СЗПДн включают в себя следующие подсистемы:

  • управления доступом, регистрации и учета,
  • обеспечения целостности и доступности,
  • антивирусной защиты,
  • межсетевого экранирования,
  • физической безопасности,
  • анализа защищенности,
  • обнаружения вторжений,
  • криптографической защиты.

Подсистемы СЗПДн имеют различный функционал в зависимости от класса ИСПДн, определенного в Акте классификации информационной системы персональных данных.

4.1. Подсистемы управления доступом, регистрации и учета

Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций:

  • идентификации и проверка подлинности субъектов доступа при входе в ИСПДн;
  • идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;
  • идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;
  • регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова.
  • регистрации попыток доступа программных средств (программ, процессов, задач, за-даний) к защищаемым файлам;
  • регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.

Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Так же может быть внедрено специальное техническое средство или их комплекс средств, осуществляющих дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.

Свободный доступ к информации не допускаются, за исключением случаев предоставления общедоступных сервисов, к которым предъявляются следующие требования:

  • для свободного доступа может быть предоставлена исключительно, общедоступная распространяемая информация;
  • контроль за правомерностью предоставления той или иной информации в общий доступ осуществляется администратором безопасности;
  • свободный доступ к файлам может быть предоставлен только на чтение;
  • серверные приложения должны быть сконфигурированы таким образом, чтобы ответные информационные сообщения при попытках внешнего подключения не содержали информации о версиях программных продуктов.

4.2. Подсистема обеспечения целостности и доступности

Подсистема обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн Центра предназначена для защиты от случайного или преднамеренного изменения или уничтожения и включают в себя реализацию следующих мер:

  • на каждом автоматизированном рабочем месте должно быть установлено антивирусное программное обеспечение, включающее:
    — антивирусный сканер;
    — резидентный антивирусный монитор;
    — система антивирусной защиты электронной почты (там, где используется ЭП);
    — дисковый ревизор, осуществляющий контроль целостности критических файлов с использованием контрольных сумм (при необходимости);
    — сигнатуры антивирусных баз должны обновляться ежедневно, как правило, в автоматическом режиме;
    — должна проводиться регулярная проверка программ и данных в системах, поддерживающих критически важные информационные и технологические процессы. Наличие случайных файлов и несанкционированных исправлений должно быть расследовано;
    — запрещается использование неучтенных съемных накопителей (незарегистрированных или неизвестного происхождения). Все съемные накопители перед каждым подключением подлежат проверке на наличие вирусов;
  • для администраторов должны быть доступны следующие данные (перечисленные ниже данные должны сохраняться в файлах системных журналов в автоматическом режиме с целью последующего анализа):
    а) идентификатор пользователя, который последний входил в систему;
    б) дата и время последнего входа и выхода из системы;
    в) число неудачных попыток входа в систему.
    — функции администратора, связанные с назначением прав и полномочий пользователей, не должны быть доступны пользователям и процессам;
    — контроль целостности программных и информационных ресурсов должен обеспечиваться как минимум одним из следующих способов:
    а) средствами подсчёта и анализа контрольных сумм;
    б) средствами электронной цифровой подписи;
    в) средствами сравнения критичных ресурсов с их эталонными копиями.
    — не допускается работа пользователя (в т. ч. администратора) на АРМ другого пользователя без разрешения администратора безопасности ИСПДн. Работа пользователей на рабочих станциях администраторов без контроля с их стороны не допускается.

Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов ИСПДн.

4.3. Подсистема антивирусной защиты

Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей ИСПДн Центра.

Средства антивирусной защиты предназначены для реализации следующих функций:

  • резидентный антивирусный мониторинг,
  • антивирусное сканирование,
  • скрипт-блокирование,
  • централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта,
  • автоматизированное обновление антивирусных баз
  • ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения,
  • автоматический запуск сразу после загрузки операционной системы.

Подсистема реализуется путем внедрения специального антивирусного программного обеспечения на все элементы ИСПДн.

4.4. Подсистема межсетевого экранирования

Межсетевые экраны (МЭ) обеспечивают безопасность при осуществлении электронного обмена информацией с другими взаимодействующими автоматизированными системами и внешними сетями, разграничение доступа между сегментами корпоративной сети, а также защиту от проникновения и вмешательства в работу АС нарушителей из внешних систем.
Согласно Руководящему документу Гостехкомиссии при Президенте РФ «межсетевым экраном называется локальное (однокомпонентное) или функционально-распределенное средство (комплекс), которое реализует контроль за информацией, поступающей в автоматизированную систему и/или выходящей из нее, и обеспечивает защиту автоматизированной системы посредством фильтрации информации, т. е. анализа по совокупности критериев и принятия решения об ее распространении в (из) автоматизированной системе». Однако такое определение имеет общий характер и подразумевает слишком расширенное толкование.

Подсистема межсетевого экранирования предназначена для реализации следующих функций:

  • фильтрации открытого и зашифрованного (закрытого) IP-трафика по установленным параметрам;
  • фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;
  • идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ;
  • регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова;
  • контроля целостности своей программной и информационной части;
  • фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
  • фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
  • регистрации и учета запрашиваемых сервисов прикладного уровня;
  • блокирования доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;
  • контроля за сетевой активностью приложений и обнаружения сетевых атак.

Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования на границе ЛВС, классом не ниже 3-го уровня защищённости (для специальной категории ПДн).

4.5. Физическая безопасность

Физические меры защиты предназначены для создания физических препятствий на возможных путях проникновения потенциальных нарушителей на объекты Центра, к компонентам Системы и доступа к защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Для разграничения доступа в помещения, где располагается серверное оборудование и другие критически важные объекты ИСПДн, целесообразно (необходимо) использовать системы физической защиты, позволяющие регистрировать и контролировать доступ исполнителей и посторонних лиц, основанные на методах идентификации и аутентификации (например: магнитные и электронные карты с личными данными, биометрические характеристики работников и т.д.).

Эксплуатация АРМ и серверов должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении информационных и материальных ресурсов (АРМ, документов, реквизитов доступа и т. п.).

Размещение и установка АРМ и серверов должна исключать возможность визуального про-смотра вводимой (выводимой) информации лицами, не имеющими к ней отношения.
Уборка помещений, в которых хранится информация ограниченного доступа и/или служебная информация, должна производиться в присутствии ответственного, за которым закреплено данное помещение, с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.

Для хранения служебных документов и машинных носителей с защищаемой информацией помещения снабжаются сейфами и металлическими шкафами. Помещения должны быть обеспечены средствами уничтожения документов.

Для обеспечения должного уровня безопасности и для предотвращения вредоносных действий запрещается работать в одиночку (без надлежащего контроля) с критически важными ком-понентами Системы.

Персоналу, осуществляющему техническое обслуживание обеспечивающих систем (энергоснабжения, сантехники и др.) и сервисов, должен быть предоставлен доступ в защищенные области только в случае необходимости и после получения разрешения.

В нерабочее время защищенные области должны быть физически недоступны и периодически проверяться охраной.

Серверные комнаты, помещения содержащие средства хранения данных и компьютерные залы, поддерживающие критически важные сервисы Центра, должны иметь надежную физическую защиту. При выборе и обустройстве соответствующих помещений необходимо принять во внимание возможность повреждения оборудования в результате пожара, наводнения, взрывов, гражданских беспорядков и других аварий. Следует также рассмотреть угрозы безопасности, которые представляют соседние помещения.

Необходимо соблюдать следующие меры безопасности:

  • разместить ключевые (критически важные) системы подальше от общедоступных мест и мест прохождения общественного транспорта;
  • элементы здания не должны привлекать внимание и выдавать свое назначение (по возмож-ности); не должно быть явных признаков как снаружи, так и внутри здания, указывающих на присутствие вычислительных ресурсов;
  • внутренние телефонные справочники не должны указывать на местонахождение ИСПДн;
  • опасные и горючие материалы следует хранить в соответствии с инструкциями на безопасном расстоянии от ИСПДн и критически важных помещений. Не следует хранить расходные материалы для компьютеров в компьютерных залах (например, бумагу для принтеров);
  • резервное оборудование и носители информации, на которых хранятся резервные копии, следует разместить на безопасном расстоянии, чтобы избежать их повреждение в случае аварии на основном рабочем месте;
  • следует установить соответствующее сигнальное и защитное оборудование, например, тепловые и дымовые детекторы, пожарную сигнализацию, средства пожаротушения, а также предусмотреть пожарные лестницы. Сигнальное и защитное оборудование необходимо регулярно проверять в соответствии с инструкциями производителей. Работники должны быть надлежащим образом подготовлены к использованию этого оборудования;
  • процедуры реагирования на чрезвычайные ситуации должны быть документированы, доведены до работников и регулярно тестироваться.

4.6. Подсистема анализа защищенности

Подсистема анализа защищенности, должна обеспечивать выявления уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.

Контроль эффективности защиты осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации или нарушение нормального функционирования средств обработки и передачи информации.

Средства анализа защищенности, так называемые сканеры безопасности (security scanners), помогают определить факт наличия уязвимости на узлах корпоративной сети и своевременно устранить их (до того, как ими воспользуются злоумышленники).

Средства анализа защищенности выполняют серию тестов по обнаружению уязвимостей, аналогичных тем, которые применяют злоумышленники при подготовке и осуществлении атак на корпоративные сети. Поиск уязвимостей основывается на использовании базы данных, которая содержит признаки известных уязвимостей сетевых сервисных программ и может обновляться путем добавления новых описаний уязвимостей. Сканирование начинается с получения предварительной информации о системе, например, о разрешенных протоколах и открытых портах, о версиях операционных систем и т.п., и может заканчиваться попытками имитации проникновения, используя широко известные атаки, например, «подбор пароля».

Средства анализа защищенности сетевых сервисов (служб)

Наиболее распространёнными являются средства анализа защищенности сетевых сервисов (служб) и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в сетевом окружении.

Использование в сетях Internet/Intranet протоколов TCP/IP, которые характеризуются наличием в них неустранимых уязвимостей, привело к появлению в последнее время новых разновидностей информационных воздействий на сетевые службы и представляющих реальную угрозу защищенности информации. Средства анализа защищенности сетевых служб применяются для оценки защищенности компьютерных сетей по отношению к внутренним и внешним атакам. По результатам анализа защищенности сетевых сервисов этими средствами генерируются отчеты, включающие в себя список обнаруженных уязвимостей, описание связанных с ними возможных угроз и рекомендации по их устранению.

Средства анализа защищенности операционных систем

Вторыми по распространенности являются средства анализа защищенности операционных систем (например, UNIX и Windows NT). Однако, из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь общие параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры.

Средства этого класса предназначены для проверки настроек операционных систем, влияющих на их защищенность. К таким настройкам можно отнести параметры учетных записей пользователей (account), например длину пароля и срок его действия, права пользователей на доступ к критичным системным файлам, уязвимые системные файлы, установленные patch 'и («заплаты») и т.п.

Данные системы в отличие от средств анализа защищенности сетевого уровня проводят сканирование не снаружи, а изнутри анализируемой системы и не предполагают имитацию атак внешних злоумышленников. Кроме возможностей по обнаружению уязвимостей некоторые системы анализа защищенности на уровне ОС позволяющие автоматически устранять часть обнаруженных проблем или корректировать параметры системы, не удовлетворяющие политике безопасности, принятой в Центре.

Средства анализа защищенности операционных систем позволяют осуществлять ревизию механизмов разграничения доступа, идентификации и аутентификации, средств мониторинга, аудита и других компонентов операционных систем с точки зрения соответствия их настроек правилам, установленным в организации. Кроме этого, средствами данного класса проводится контроль целостности и неизменности программных средств и системных установок и проверка наличия уязвимостей системных и прикладных служб. Как правило, такие проверки проводятся с использованием базы данных уязвимостей операционных систем и сервисных служб, которые могут обновляться по мере выявления новых уязвимостей. Системы анализа защищенности на уровне ОС могут быть использованы не только отделами защиты информации, но и управлениями автоматизации для контроля конфигурации операционных систем.

Анализ защищённости СУБД (Database Scanner)

Система анализа защищенности Database Scanner предназначена для решения одного из важных аспектов управления сетевой безопасностью — обнаружения уязвимостей. Система Database Scanner обнаруживает различные проблемы, связанные с безопасностью баз данных: «слабые» пароли, права доступа к объектам БД. Встроенная база знаний (Knowledge Base), доступная непосредственно из создаваемых отчетов, рекомендует корректирующие действия, которые позволяют устранить обнаруженные уязвимости.

Система Database Scanner может быть использована для анализа защищенности систем управления базами данных (СУБД) Microsoft SQL Server, Oracle и Sybase Adaptive Server .
Большинство нарушений безопасности связано с неправильной конфигурацией или нарушениями принятой политики безопасности.
Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.

4.7. Подсистема обнаружения вторжений

Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИСПДн подключенные к сетям общего пользования и (или) международного обмена.

Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.

4.8. Подсистема криптографической защиты

Подсистема криптографической защиты предназначена для исключения НСД к защищаемой информации в ИСПДн Центра, при ее передаче по каналам связи сетей общего пользования и (или) международного обмена.

Подсистема реализуется внедрения криптографических программно-аппаратных комплексов.

5. Пользователи ИСПДн

В Концепции информационной безопасности ФГБУ «НМИЦ им. В. А. Алмазова» Минздрава России (гл. 4) определены основные категории пользователей. На основании этих категорий производится типизация пользователей ИСПДн, определяя их уровень доступа и возможности.

В ИСПДн Центра можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:

  • администратор ИСПДн;
  • администратор безопасности;
  • оператор АРМ;
  • администратор сети;
  • технического специалиста по обслуживанию периферийного оборудования;
  • программист-разработчик ИСПДн.

Данные о группах пользователях, уровне их доступа и информированности отражается в Положении о разграничении прав доступа к обрабатываемым персональным данным.

Уровень полномочий пользователя определяется в соответствии с должностным регламентом, при этом должны соблюдаться следующие требования:

  • каждый работник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностным регламентом;
  • пользователи, допущенные к работе, и обслуживающий персонал Системы несут персональную ответственность за нарушения установленного порядка автоматизированной обработки ПДн, правил хранения, использования и передачи, находящихся в их распоряжении защищаемых ресурсов Системы.

Аппаратно-программная конфигурация АРМ пользователей (с которой возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на пользователей функциональных обязанностей.

Все неиспользуемые в работе устройства ввода-вывода информации (USB, COM, LPT порты, дисководы НГМД, DVD и CD-ROM, RW и т.д.) на АРМ должны быть отключены, не нужные для работы программные средства и данные с дисков АРМ должны быть удалены.

5.1. Администратор ИСПДн

Администратор ИСПДн, сотрудник Центра, ответственный за настройку, внедрение и сопро-вождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора АРМ) к элементам хранящим персональные данные.

Администратор ИСПДн обеспечивает автоматическое введение файлов журналов, отражающих все действия пользователя в отношении механизмов обеспечения информационной безопасности.

Администратор ИСПДн обладает следующим уровнем доступа и знаний:

  • обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
  • обладает полной информацией о технических средствах и конфигурации ИСПДн;
  • имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
  • обладает правами конфигурирования и административной настройки технических средств ИСПДн.

5.2. Администратор безопасности

Администратор безопасности, сотрудник Центра, ответственный за функционирование СЗПДн.

Администратор безопасности обладает следующим уровнем доступа и знаний:

  • обладает правами Администратора ИСПДн;
  • обладает полной информацией об ИСПДн;
  • имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
  • не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).

Администратор безопасности уполномочен:

  • реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (оператор АРМ) получает возможность работать с элементами ИСПДн;
  • осуществлять аудит средств защиты;
  • устанавливать доверительные отношения своей защищенной сети с сетями других Учреждений.

Администратор безопасности обязан:

  • осуществлять проектирование, разработку, контроль реализации политики информационной безопасности и корректировать ее в соответствии с изменяющейся внутренней и внешней информационной средой;
  • готовить предложения директору Центра по методике проведения внутреннего анализа (оценки) рисков;
  • координировать действия администраторов и сотрудников Центра в ходе проведении проверки состояния информационной безопасности, анализа рисков и подготовки соответствующих отчетов;
  • разрабатывать предложения по мероприятиям обеспечения информационной безопасности и защиты ПДн, которые необходимо реализовывать в ИСПДн в соответствии с принятой политикой безопасности и результатами оценки рисков;
  • осуществлять разработку практических требований, организационно-технических документов и рекомендаций по реализации мероприятий по обеспечению информационной безопасности, защиты ПДн, настройке аппаратных, программных и программно-аппаратных средств обеспечения информационной безопасности, применяемых в ИСПДн;
  • другие обязанности администратора информационной безопасности определяются должностным регламентом.

5.3. Оператор АРМ

Оператор АРМ (пользователь), сотрудник Центра, осуществляющий обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчетов по информации, полученной из ИСПД. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПДн.

Оператор ИСПДн (пользователь) обладает следующим уровнем доступа и знаний:

  • обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
  • располагает конфиденциальными данными, к которым имеет доступ.
  • знать положения политики информационной безопасности в части их касающейся;
  • строго выполнять требования администратора безопасности по обеспечению реализации по-ложений политики информационной безопасности;
  • в случае обнаружения сбоев в работе ИСПДн, а также любых других фактов, расцениваемых как признаки нарушения информационной безопасности, незамедлительно сообщать о них администратору безопасности или администратору ИСПДн;
  • в случае необходимости удалённого взаимодействия с ИСПДн использовать только рекомендованные администратором безопасности и администратором ИСПДн средства удалённого доступа и администрирования;
  • не осуществлять действий, способных привести к нарушению функционирования или раскрытию параметров ИСПДн.

В частности, не допускается:
а) создание или распространение вредоносных программ и компьютерных вирусов, как заимствованных, так и самостоятельно разработанных;
б) сканирование портов, прослушивание сетевого трафика, а также любые другие попытки анализа сети без письменного разрешения администратора безопасности.
хранить всю информацию, связанную с профессиональной деятельностью, ПДн на файл-сервере или другом средстве хранения информации выделенном для этой цели.

5.4. Администратор сети

Администратор сети, сотрудник Центра, ответственный за функционирование телекоммуникационной подсистемы ИСПДн. Администратор сети не имеет полномочий для управления подсистемами обработки данных и безопасности.

Администратор сети обладает следующим уровнем доступа и знаний:

  • обладает частью информации о системном и прикладном программном обеспечении ИСПДн;
  • обладает частью информации о технических средствах и конфигурации ИСПДн;
  • имеет физический доступ к техническим средствам обработки информации и средствам защиты;
  • знает, по меньшей мере, одно легальное имя доступа.

5.5. Технический специалист по обслуживанию периферийного оборудования

Технический специалист по обслуживанию, сотрудник Центра, осуществляющий обслуживание и настройку периферийного оборудования ИСПДн. Технический специалист по обслуживанию не имеет доступа к ПДн, не имеет полномочий для управления подсистемами обработки данных и безопасности.

Технический специалист по обслуживанию обладает следующим уровнем доступа и знаний:

  • обладает частью информации о системном и прикладном программном обеспечении ИСПДн;
  • обладает частью информации о технических средствах и конфигурации ИСПДн;
  • знает, по меньшей мере, одно легальное имя доступа.

5.6. Программист-разработчик ИСПДн

Программисты-разработчики (поставщики) прикладного программного обеспечения, обеспечивающие его сопровождение на защищаемом объекте. К данной группе могут относиться как сотрудники Учреждения, так и сотрудники сторонних организаций.

Лицо этой категории:

  • обладает информацией об алгоритмах и программах обработки информации на ИСПДн;
  • обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;
  • может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.

6. Требования к персоналу по обеспечению защиты ПДн

Все сотрудники Центра, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

При вступлении в должность нового сотрудника непосредственный начальник под-разделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного ис-пользования ИСПДн.

Сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.

Сотрудники Центра, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.

Сотрудники Центра должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).

Сотрудники Центра должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.

Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами Центра, третьим лицам.

При работе с ПДн в ИСПДн сотрудники Центра обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов.

При завершении работы с ИСПДн сотрудники обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.

Сотрудники Центра должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.

Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.

7. Должностные обязанности пользователей ИСПДн

Должностные обязанности пользователей ИСПДн описываются в следующих документах:

  • Инструкция администратора ИСПДн;
  • Инструкция администратора безопасности ИСПДн;
  • Инструкция пользователя ИСПДн;
  • Инструкция пользователя при возникновении внештатных ситуаций.

8. Ответственность сотрудников ИСПДн Центра

В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272,273 и 274 УК РФ).

Администратор ИСПДн и администратор безопасности несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.

При нарушениях сотрудниками Центра — пользователями ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.

Приведенные выше требования нормативных документов по защите информации от-ражаются в «Положении о подразделениях Центра, осуществляющих обработку ПДн в ИСПДн» и должностных инструкциях сотрудников Центра.

Необходимо внести в Положения о подразделениях Центра, осуществляющих обработку ПДн в ИСПДн сведения об ответственности их руководителей и сотрудников за разглашение и несанкционированную модификацию (искажение, фальсификацию) ПДн, а также за неправомерное вмешательство в процессы их автоматизированной обработки.

9. Список нормативно-правовых и методических документов

Основными нормативно-правовыми и методическими документами, на которых базируется настоящая Политика, являются:

1. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»), устанавливающий основные принципы и условия обработки ПДн, права, обязанности и ответственность участников отношений, связанных с обработкой ПДн.
2. «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденное Постановлением Правительства РФ от 15.09.2008 г. № 687.
3. Постановления Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
5. «Требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных», утвержденные Постановлением Правительства РФ от 06.07.2008 г. № 512.

ГОСТ Р ИСО 7498-2-99
Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации

Настоящий стандарт содержит полный аутентичный текст международного стандарта ИСО 7498-2-89 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации"

3 ВВЕДЕН ВПЕРВЫЕ

Введение

ГОСТ Р ИСО/МЭК 7498 определяет базовую эталонную модель взаимосвязи открытых систем (ВОС). Настоящий стандарт устанавливает основы для обеспечения скоординированных разработок действующих и будущих стандартов по ВОС.

Назначение ВОС состоит в обеспечении такой взаимосвязи неоднородных вычислительных систем, которая позволила бы достичь эффективного обмена данными между прикладными процессами. В различных ситуациях необходимо обеспечение управляющих функций защиты информации, которой обмениваются прикладные процессы. Эти управляющие функции могут довести стоимость получения или модификации данных выше возможной ценности самих данных, либо привести к такому большому времени получения данных, по истечении которого ценность этих данных теряется.

Настоящий стандарт определяет общие архитектурные элементы, относящиеся к защите, которые могут соответствующим образом использоваться в тех случаях, когда необходима защита данных, передаваемых между открытыми системами. Настоящий стандарт устанавливает в рамках эталонной модели основные направления и ограничения по совершенствованию действующих стандартов или по разработке новых стандартов в области ВОС для обеспечения защиты обмениваемых данных и, тем самым, обеспечивает согласованный подход к защите информации в рамках ВОС.

Для понимания настоящего стандарта необходимо знать основные сведения по защите информации. Поэтому читателю, недостаточно подготовленному в этой области, рекомендуется сначала ознакомиться с приложением А.

Настоящий стандарт является расширением базовой эталонной модели в части аспектов защиты информации, которые являются общими архитектурными элементами для протоколов обмена данными, но не рассмотрены в базовой эталонной модели.

1 Область применения

a) содержит общее описание тех услуг и соответствующих механизмов защиты, которые могут быть обеспечены эталонной моделью;

b) определяет те позиции в рамках эталонной модели, в которых могут обеспечиваться эти услуги и механизмы.

Настоящий стандарт расширяет область применения ГОСТ Р ИСО/МЭК 7498-1, охватывая вопросы защиты обмена данными между открытыми системами.

Основные услуги и механизмы защиты и их соответствующее размещение определено для всех уровней базовой эталонной модели. Кроме того, определены также архитектурные взаимоотношения услуг и механизмов защиты с базовой эталонной моделью. В оконечных системах, установках и организациях могут потребоваться дополнительные средства защиты. Эти средства используются в различных прикладных контекстах. Определение услуг защиты, необходимых для обеспечения этих дополнительных средств, не входит в предмет рассмотрения настоящего стандарта.

Функции защиты в рамках ВОС рассмотрены с учетом только тех наблюдаемых аспектов маршрутов обмена данными, которые позволяют оконечным системам обеспечивать защищенную передачу информации между ними. Защита в рамках ВОС не касается средств защиты, необходимых в оконечных системах, установках и организациях, за исключением тех случаев, когда эти системы оказывают влияние на выбор и позицию услуг защиты, наблюдаемых в ВОС. Эти аспекты защиты могут быть стандартизированы, но вне области распространения стандартов по ВОС.

Настоящий стандарт дополняет концепции и принципы, установленные в ГОСТ Р ИСО/МЭК 7498-1, но не изменяет их. Настоящий стандарт не является ни спецификацией, ни основой для оценки соответствия действующих реализаций.

2 Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие стандарты.

3 Определения и сокращения

3.1 В настоящем стандарте используют следующие термины, определенные в ГОСТ Р ИСО/МЭК 7498-1:

a) (N)-соединение;

b) (N)-передача данных;

c) (N)-логический объект;

d) (N)-средство;

f) открытая система;

g) равноправные логические объекты;

h) (N)-протокол;

j) (N)-протокольный блок данных;

k) (N)-ретранслятор;

l) маршрутизация;

m) упорядочение;

p) (N)-сервисный блок данных;

q) (N)-данные пользователя;

s) ресурс ВОС;

t) синтаксис передачи.

3.2 Настоящий стандарт использует следующие термины соответствующих стандартов:

информационная база административного управления (ИБАУ) (ГОСТ ИСО 7498-4)

Кроме того, в настоящем стандарте используют следующие сокращения:

ВОС — взаимосвязь открытых систем

СБД — сервисный блок данных

ИБАУ — информационная база административного управления

ИБАУЗ — информационная база административного управления защитой

3.3 В настоящем стандарте используют следующие определения:

3.3.1 Управление доступом — предотвращение несанкционированного использования какого-либо ресурса, включая предотвращение использования ресурса неполномочным способом.

3.3.2 Список управления доступом — список логических объектов, имеющих разрешение на доступ к ресурсу, вместе с перечнем их прав на доступ.

3.3.3 Учетность — свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта.

3.3.4 Активная угроза — угроза преднамеренного несанкционированного изменения состояния системы.

Примечание — Примерами активных угроз, относящихся к защите информации, могут служить модификация сообщений, дублирование сообщений, вставка ложных сообщений, маскирование какого-либо логического объекта под санкционированный логический объект и отклонение услуги.

3.3.5 Анализ процедур — см. анализ процедур защиты.

3.3.6 Данные трассировки — см. данные трассировки защиты.

3.3.7 Аутентификация — см. аутентификация отправителя данных и равноправного логического объекта.

Примечание — В настоящем стандарте термин "аутентификация" не используется по отношению к целостности данных; вместо него используется термин "целостность данных".

3.3.8 Информация аутентификации — информация, используемая для установления подлинности запрашиваемой личности.

3.3.9 Обмен аутентификацией — механизм, предназначенный для подтверждения подлинности какого-либо логического объекта путем обмена информацией.

3.3.10 Полномочие — предоставление прав, гарантирующих доступ к ресурсам в соответствии с правами на доступ.

3.3.11 Доступность — свойство быть доступным и используемым по запросу со стороны уполномоченного логического объекта.

3.3.12 Функциональная возможность — маркер, используемый в качестве идентификатора какого-либо ресурса, овладение которым дает право на доступ к данному ресурсу;

3.3.13 Канал — маршрут передачи информации.

3.3.14 Шифротекст — данные, получаемые в результате использования шифрования. Семантическое содержимое полученных в результате шифрования данных недоступно.

Примечание — Шифротекст может сам по себе служить входом в процесс шифрования, в результате чего вырабатывается суперзашифрованный выход.

3.3.15 Открытый текст — смысловые данные, семантическое содержимое которых доступно.

3.3.16 Конфиденциальность — свойство, позволяющее не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам.

3.3.17 Удостоверение личности — данные, передаваемые для установления заявленной подлинности логического объекта.

3.3.18 Криптоанализ — анализ криптографической системы и/или ее входов и выходов с целью получения конфиденциальных переменных и/или чувствительных данных, включая открытый текст.

3.3.19 Криптографическое контрольное значение — информация, получаемая в результате выполнения криптографического преобразования (см. криптография) блока данных.

Примечание — Контрольное значение может быть получено путем выполнения одного или нескольких шагов и является результатом математической функции ключа и блока данных. Оно обычно используется для проверки целостности блока данных.

3.3.20 Криптография — дисциплина, охватывающая принципы, средства и методы преобразования данных для сокрытия их информационного содержимого, предотвращения их необнаруживаемой модификации и/или их несанкционированного использования.

Примечание — Криптография устанавливает методы, используемые при шифровании и дешифровании. Любое вторжение в криптографические принципы, средства или методы, представляет собой криптоанализ.

3.3.21 Целостность данных — способность данных не подвергаться изменению или аннулированию в результате несанкционированного доступа.

3.3.22 Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.

3.3.23 Дешифрование — процесс, обратный соответствующему обратимому процессу шифрования.

3.3.24 Дешифрация — см.дешифрование.

3.3.25 Отклонение услуги — предотвращение санкционированного доступа к ресурсам или задержка операций, критичных ко времени.

3.3.26 Цифровая подпись — дополнительные данные или криптографическое преобразование (см. криптография) какого-либо блока данных, позволяющие получателю блока данных убедиться в подлинности отправителя и целостности блока данных и защитить его от искажения с помощью, например, средств получателя.

3.3.27 Шифрование — криптографическое преобразование данных (см. криптография) для получения шифротекста.

Примечание — Шифрование может быть необратимым процессом, в связи с чем соответствующий процесс дешифрования невозможно реализовать.

3.3.28 Шифрация — см. шифрование.

3.3.29 Межконцевое шифрование — шифрование данных внутри или на стороне отправителя оконечной системы с соответствующим дешифрованием, выполняемое только внутри или на стороне получателя оконечной системы. (См. также позвенное шифрование.)

3.3.30 Стратегия защиты, основанная на идентификации — стратегия защиты информации, основанная на идентификаторах и/или атрибутах пользователей, группы пользователей или логических объектов, действующих от имени пользователей и доступных им ресурсов/логических объектов.

3.3.31 Целостность — см. целостность данных.

3.3.32 Ключ — последовательность символов, управляющая операциями шифрования и дешифрования.

3.3.33 Административное управление ключом — генерация, сохранение, распределение, удаление, каталогизирование и применение ключей в соответствии со стратегией защиты.

3.3.34 Позвенное шифрование — индивидуальное прикладное применение шифрования к данным на каждом звене системы обмена данных. (См. также межконцевое шифрование.)

Примечание — Позвенное шифрование подразумевает, что данные, передаваемые через логический объект ретранслятора, должны иметь формат открытого текста.

3.3.35 Обнаружение манипуляции — механизм, используемый для обнаружения возможной модификации блока данных (случайной или преднамеренной).

3.3.36. Маскирование — стремление какого-либо логического объекта выглядеть в виде другого логического объекта.

3.3.37 Нотаризация — регистрация данных доверенным третьим лицом, которое обеспечивает последующее подтверждение правильности их характеристик, таких как содержимое, отправитель, время и получатель.

3.3.38 Пассивная угроза — угроза несанкционированного раскрытия информации без изменения состояния системы.

3.3.39 Пароль — конфиденциальная информация аутентификации, обычно состоящая из строки знаков.

3.3.40 Аутентификация равноправного логического объекта — подтверждение того, что равноправный логический объект в какой-либо ассоциации является заявленным логическим объектом.

3.3.41 Физическая защита — средства, используемые для обеспечения физической защиты ресурсов от преднамеренной или случайной угрозы.

3.3.42 Стратегия — см. стратегия защиты.

3.3.43 Собственность — право отдельных лиц контролировать или влиять на сбор и хранение относящейся к ним информации и на определение тех, кем и для кого может быть раскрыта эта информация.

Примечание — Поскольку данный термин относится к праву отдельных лиц, он не может быть точно определен и его использования следует избегать, за исключением обоснованных случаев для запрашиваемой защиты.

3.3.44 Самоотказ — самоотрицание одного из логических объектов, участвующих в обмене данными, полного или частичного своего участия в этом обмене.

3.3.45 Управление маршрутизацией — применение правил в процессе маршрутизации по выбору или исключению конкретных сетей, звеньев данных или ретрансляторов.

3.3.46 Стратегия защиты, основанная на правилах — стратегия защиты, основанная на общих правилах, предъявляемых ко всем пользователям. Эти правила обычно основываются на сравнении чувствительности доступных ресурсов и обладании отдельными пользователями, группами пользователей или логическими объектами, действующими от имени пользователей, соответствующими атрибутами.

3.3.47 Анализ процедур защиты — независимый просмотр и анализ системных записей и активностей с целью проверки их адекватности системным управляющим функциям для обеспечения соответствия с принятой стратегией защиты и операционными процедурами, обнаружения пробелов в защите и выдачи рекомендаций по любым указанным изменениям в управлении, стратегии и процедурах.

3.3.48 Данные трассировки защиты — накопленные и готовые к использованию данные, предназначенные для детализации причины анализа процедур защиты.

3.3.49 Метка защиты — граничная метка, присваиваемая какому-либо ресурсу (в качестве которого может служить блок данных), которая именует или обозначает атрибуты защиты этого ресурса.

Примечание — Метка и/или присвоенное значение могут быть явными или неявными.

3.3.50 Стратегия защиты — набор критериев для обеспечения услуг защиты (см. также "стратегия защиты, основанная на идентификации" и "стратегия защиты, основанная на правилах").

Примечание — Полная стратегия защиты неизбежно будет связана с решением многих вопросов, не входящих в сферу ВОС.

3.3.51 Услуга защиты — услуга, предоставляемая каким-либо уровнем взаимосвязанных открытых систем, которая обеспечивает адекватную защиту систем или процедур передачи данных.

3.3.52 Избирательная защита поля — защита конкретных полей внутри сообщения, подлежащего передаче.

3.3.53 Чувствительность — характеристика ресурса, которая определяет его ценность или важность и может учитывать его уязвимость.

3.3.54 Подпись — см. цифровая подпись.

3.3.55 Угроза — потенциальная возможность нарушения защиты.

3.3.56 Анализ трафика — заключение о состоянии информации на основе наблюдения за потоками трафика (наличие, отсутствие, объем, направление и частота).

3.3.57 Конфиденциальность потока трафика — услуга конфиденциальности, предназначенная для защиты от анализа трафика.

3.3.58 Заполнение трафика — генерация фиктивных сеансов обмена данными, фиктивных блоков данных и/или фиктивных данных в составе блоков данных.

3.3.59 Доверительная функциональность — функционирование, которое воспринимается правильным с точки зрения некоторого критерия, например, критерия, предъявляемого посредством стратегии защиты.

4 Обозначения

Термин "услуга", если не оговорено иное, используют в смысле "услуга защиты".

5 Общее описание услуг и механизмов защиты

5.1 Общее описание

В данном разделе рассмотрены услуги защиты, включенные в архитектуру защиты ВОС, и механизмы, реализующие эти услуги. Описанные ниже услуги защиты являются базовыми услугами защиты. На практике они должны вызываться на соответствующих уровнях и в соответствующих комбинациях, обычно совместно с услугами и механизмами, не входящими в область распространения BОC, для обеспечения стратегии защиты и/или удовлетворения требований пользователя. Конкретные механизмы защиты могут использоваться для реализации комбинаций базовых услуг защиты. Практические реализации систем могут использовать для прямого привлечения конкретные комбинации базовых услуг защиты.

5.2 Услуги защиты

Ниже приведено описание услуг защиты, которые могут факультативно обеспечиваться в рамках базовой эталонной модели ВОС. Услуги аутентификации требуют проверки информации аутентификации, включая локально хранимую информацию и передаваемые данные для обеспечения аутентификации (удостоверения личности).

Как описано ниже, эти услуги обеспечивают проверку подлинности равноправного логического объекта и отправителя данных.

5.2.1.1 Аутентификация равноправного логического объекта

Когда эта услуга предоставляется (N)-ypoвнем, она обеспечивает для (N+1)-логического объекта подтверждение того, что равноправный логический объект является заявленным (N+1)-лoгическим объектом.

Эта услуга предоставляется для использования во время установления соединения или в фазе передачи данных по соединению с целью подтверждения идентификаторов одного или нескольких логических объектов, соединенных с одним или несколькими другими логическими объектами. Эта услуга позволяет только в момент ее использования удостовериться в том, что какой-то логический объект не пытался замаскироваться под другой логический объект или несанкционированно воспроизвести предыдущее соединение. Возможно использование вариантов односторонней или взаимной аутентификации равноправного логического объекта с наличием или отсутствием проверки полного отказа и возможностью обеспечения различных степеней защиты.

5.2.1.2 Аутентификация отправителя данных

Когда эта услуга предоставляется (N)-уровнем, она обеспечивает для (N+1)-логического объекта подтверждение того, что отправитель данных является заявленным (N+1)-логическим объектом.

Услуга аутентификации отправителя данных обеспечивает подтверждение подлинности отправителя блока данных. Эта услуга не обеспечивает защиту от дублирования или модификации блоков данных.

5.2.2 Управление доступом

Эта услуга обеспечивает защиту от несанкционированного использования ресурсов, доступных через ВОС. Этими ресурсами, доступными через протоколы ВОС, могут быть как ресурсы, используемые в рамках ВОС, так и ресурсы, не входящие в область распространения ВОС. Данная услуга может применяться к различным видам доступа к ресурсам (например, использование ресурсов средств обмена данными, ресурсов чтения, записи или удаления информации, ресурсов выполнения обработки) или ко всем видам доступа к ресурсам.

Управление доступом должно рассматриваться в соответствии с различными стратегиями защиты (см. 6.2.1.1).

5.2.3 Конфиденциальность данных

Как описано выше, эти услуги обеспечивают защиту данных от их неполномочного раскрытия.

5.2.3.1 Конфиденциальность в режиме с установлением соединения

Эта услуга обеспечивает конфиденциальность всех данных (N)-пользователя, передаваемых по (N)-соединению.

Примечание — В зависимости от использования и уровня, защита всех данных может быть нецелесообразной, например, защита срочных данных или данных в запросе на установление соединения.

5.2.3.2. Конфиденциальность в режиме без установления соединения

Эта услуга обеспечивает конфиденциальность всех данных (N)-пользователя в одном (N)-СБД, передаваемом в режиме без установления соединения.

5.2.3.3 Конфиденциальность выбранного поля

Эта услуга обеспечивает конфиденциальность выбранных полей в составе данных (N)-пользователя, передаваемых по (N)-соединению или в одном (N)-СБД, передаваемом в режиме без установления соединения.

5.2.3.4 Конфиденциальность потока трафика

Эта услуга обеспечивает защиту информации, которая может быть получена в результате наблюдения потоков трафика.

5.2.4 Целостность данных

Эти услуги предотвращают активные угрозы и могут принимать одну из описанных ниже форм.

Примечание — В режиме с установлением соединения использование услуги аутентификации равноправного логического объекта в момент установления соединения и услуги целостности данных во время функционирования соединения может совместно обеспечивать подтверждение подлинности источника всех блоков данных, передаваемых по этому соединению, целостность этих блоков данных и может дополнительно обеспечить обнаружение дублирования блоков данных, например, путем использования порядковых номеров.

5.2.4.1 Целостность в режиме с установлением соединения с восстановлением

Эта услуга обеспечивает целостность всех данных (N)-пользователя, передаваемых по (N)-coединению, и обнаруживает любую модификацию, вставку, стирание или воспроизведение любых данных внутри полной последовательности СБД (с попыткой восстановления).

5.2.4.2 Целостность в режиме с установлением соединения без восстановления

Эта услуга аналогична услуге, описанной в 5.4.2.1, но без попытки восстановления.

5.2.4.3 Целостность выбранного поля в режиме с установлением соединения

Эта услуга обеспечивает целостность выбранных полей внутри данных (N)-пользователя в составе какого-либо (N)-СБД, передаваемого по соединению, в виде определения формы искажения выбранных полей: модификации, вставки, удаления или воспроизведения.

5.2.4.4 Целостность данных, передаваемых в режиме без установления соединения

Когда эта услуга предоставляется (N)-уровнем, она обеспечивает целостность данных для запрашивающего (N+1)-логического объекта.

Эта услуга обеспечивает целостность одного СБД, передаваемого в режиме без установления соединения, и может принимать форму, определяющую, был ли смодифицирован принятый СБД. Дополнительно может быть предусмотрена ограниченная форма обнаружения воспроизведения.

5.2.4.5 Целостность выбранного поля в режиме без установления соединения

Эта услуга обеспечивает целостность выбранных полей внутри одного СБД, передаваемого в режиме без установления соединения, и определяет, были ли смодифицированы выбранные поля.

Эта услуга может принимать одну или обе следующие формы.

5.2.5.1 Безотказность с подтверждением отправителя

Получатель данных обеспечивается проверкой отправителя данных. Эта услуга защищает от любой попытки отправителя ложно отрицать передачу данных или их содержимое.

5.2.5.2 Безотказность с подтверждением доставки

Передатчик данных обеспечивается подтверждением доставки данных. Эта услуга защищает от любой последующей попытки получателя ложно отрицать получение данных или их содержимое.

5.3 Специальные механизмы защиты

Следующие механизмы могут входить в состав соответствующего (N)-уровня для обеспечения некоторых услуг, описанных в 5.2.

5.3.1.1 Шифрование может обеспечивать конфиденциальность либо данных, либо информации потока трафика, и может принимать участие в дополнении ряда других механизмов защиты, описанных в последующих разделах.

5.3.1.2 Алгоритмы шифрования могут быть обратимыми и необратимыми. Существуют два вида общей классификации обратимых механизмов шифрования:

a) симметричное шифрование (т.е. секретный ключ), при котором знание ключа шифрования предполагает знание ключа дешифрования, и наоборот;

b) асимметричное шифрование (т.е. ключ общего пользования), при котором знание ключа шифрования не предполагает знание ключа дешифрования, и наоборот. Два ключа такой системы называются иногда "ключ общего пользования" и "личный ключ".

Алгоритмы необратимого шифрования могут использовать или не использовать ключ. При использовании ключа он может быть общего пользования либо секретным.

5.3.1.3 Наличие механизма шифрования предполагает использование механизма административного управления ключом, за исключением случаев применения некоторых алгоритмов необратимого шифрования. Некоторые основные положения методов административного управления ключом приведены в 8.4.

5.3.2 Механизмы цифровой подписи

Эти механизмы определяют две процедуры:

a) подпись блока данных;

b) верификация подписанного блока данных.

Первый процесс использует информацию, которая является личной (т.е. единственной и конфиденциальной) по отношению к подписавшему лицу. Второй процесс использует процедуры и информацию, которые являются общественно доступными, но из которых не может быть выделена личная информация подписавшего лица.

5.3.2.1 Процесс подписания включает либо шифрование блока данных, либо выработку криптографического контрольного значения блока данных путем использования в качестве личного ключа личной информации подписавшего лица.

5.3.2.2 Процесс верификации включает использование процедур и информации общего пользования с целью определения образования подписи с помощью личной информации подписавшего лица.

5.3.2.3 Существенной характеристикой механизма подписи является то, что подпись может быть произведена только с использованием личной информации подписавшего лица. Таким образом, при верификации подписи можно впоследствии в любой момент времени доказать третьему лицу (например, судье или арбитру), что только единственный обладатель личной информации мог произвести эту подпись.

5.3.3 Механизмы управления доступом

5.3.3.1 Эти механизмы могут использовать подтвержденную подлинность логического объекта или информации о логическом объекте (например, принадлежность к известному множеству логических объектов) или возможностей логического объекта с целью определения и присвоения права этого логического объекта на доступ. Если логический объект пытается использовать неполномочный ресурс или полномочный ресурс с запрещенным для него типом доступа, то функция управления доступом должна отклонить эту попытку и может дополнительно уведомить об этом инциденте с целью генерации сигнала тревоги и/или ее регистрации в качестве части данных отслеживания защиты. Любое уведомление передатчика об отклонении при передаче данных без установления соединения может обеспечиваться только в результате управления доступом, возлагаемого на отправителя данных.

5.3.3.2 Механизмы управления доступом могут, например, базироваться на использовании одного или нескольких следующих факторов:

а) информационных баз управления доступом, где поддерживаются права доступа равноправных логических объектов. Эта информация может обслуживаться санкционированными центрами или логическими объектами, к которым осуществляется доступ, и может иметь форму списка управления доступом или матрицы с иерархической или распределенной структурой. Этот фактор предполагает, что аутентификация равноправного логического объекта обеспечена;

b) информации аутентификации, например, паролей, обладание и последующее представление которых очевидно из полномочий логического объекта, осуществляющего доступ;

с) возможностей, обладание и последующее представление которых очевидно вытекает из наличия у логического объекта или ресурса права на доступ, определяемого данной возможностью.

Примечание — Возможность не должна быть ложной и должна быть присвоена доверительным образом;

d) меток защиты, которые при присвоении какому-либо логическому объекту должны использоваться для разрешения или отклонения права на доступ обычно в соответствии со стратегией защиты;

e) времени попытки получения доступа;

f) маршрута попытки получения доступа;

g) длительности доступа.

5.3.3.3 Механизмы управления доступом могут использоваться на любом конце ассоциации обмена данными и/или в любом ее промежуточном пункте.

Функции управления доступом, задействованные у отправителя или в любом промежуточном пункте, используются для определения права передатчика на обмен данными с получателем и/или для использования запрашиваемых ресурсов связи.

Требования, предъявляемые к механизмам управления доступом в равноправных уровнях на стороне получателя для передачи данных в режиме без установления соединения, должны быть известны заранее отправителю и должны быть зарегистрированы в информационной базе административного управления защитой (см. 6.2 и 8.1).

5.3.4 Механизмы целостности данных

5.3.4.1 Существует два аспекта целостности данных: целостность единичного блока данных или поля и целостность потока блоков данных или полей. В общем случае для обеспечения этих двух типов услуги целостности используются различные механизмы, хотя обеспечение второго типа этой услуги без первого непрактично.

5.3.4.2 Определение целостности единичного блока данных включает два процесса, один из которых выполняется на передающем логическом объекте, а другой — на принимающем. Передающий логический объект добавляет к блоку данных контрольную величину, которая является функцией самих данных. Эта контрольная величина может быть дополнительной информацией, например, кодом проверки блока или криптографическим контрольным значением, и может быть сама зашифрована. Принимающий логический объект генерирует соответствующую контрольную величину и сравнивает ее с принятой контрольной величиной для определения возможной модификации данных в процессе их передачи. Этот механизм сам по себе не может защитить от воспроизведения отдельного блока данных. На соответствующих уровнях архитектуры обнаружение манипуляции может привести к действию процедуры восстановления (например, путем повторной передачи или исправления ошибок) на данном или вышерасположенном уровне.

5.3.4.3 Для передачи данных в режиме с установлением соединения защита целостности последовательности блоков данных (т.е. защита от нарушения последовательности, потери, воспроизведения, вставок или модификации данных) дополнительно требует некоторых форм явного упорядочения, таких как порядковая нумерация, отметки времени или организация криптографических цепочек.

5.3.4.4 При передаче данных в режиме без установления соединения могут быть использованы отметки времени с целью обеспечения ограниченной формы защиты против воспроизведения отдельных блоков данных.

5.3.5 Механизм обмена информацией аутентификации

5.3.5.1 Для обеспечения обмена информацией аутентификации могут использоваться некоторые из перечисленных ниже методов:

a) использование информации аутентификации, такой как пароли, которые обеспечиваются передающим и проверяются принимающим логическими объектами;

b) методы криптографии;

c) использование характеристик и/или принадлежностей логического объекта.

5.3.5.2 Указанные механизмы могут содержаться в (N)-уровне для аутентификации равноправного логического объекта. Если механизму не удалось провести аутентификацию логического объекта, это приведет к отклонению или разъединению соединения и может также вызвать появление записи в данных отслеживания защиты и/или к уведомлению центра административного управления защитой.

5.3.5.3 При использовании криптографических методов они могут сочетаться с протоколами "квитирования" с целью защиты от воспроизведения (т.е. для обеспечения жизнеспособности).

5.3.5.4 Выбор методов обмена информацией аутентификации должен зависеть от обстоятельств их использования. В большинстве случаев эти методы следует использовать в сочетании со следующими процедурами:

a) установка отметок времени и синхронизированные часы;

b) двух- и трехнаправленное квитирование (для односторонней и взаимной аутентификации, соответственно);

c) услуги без самоотвода, обеспечиваемые цифровой подписью, и/или механизмами нотаризации.

5.3.6 Механизм заполнения трафика

Механизм заполнения трафика может использоваться для обеспечения различных уровней защиты от анализа трафика. Этот механизм может быть эффективным только в том случае, если заполнение трафика защищается услугой конфиденциальности.

5.3.7 Механизм управления маршрутизацией

5.3.7.1 Маршруты могут выбираться либо динамически, либо путем такого предварительного распределения, которое использует только физически защищенные подсети, ретрансляторы или звенья данных.

5.3.7.2 При обнаружении постоянных попыток манипуляции данными оконечные системы могут передать поставщику сетевой услуги команду на установление соединения через другой маршрут.

5.3.7.3 Прохождение данных с определенными метками защиты через соответствующие подсети, ретрансляторы или звенья может быть запрещено стратегией защиты. Кроме того, инициатор соединения (или передатчик блока данных без установления соединения) может установить запрет на использование маршрутов, что требует исключения из маршрута заданных подсетей, звеньев данных или ретрансляторов.

5.3.8 Механизм нотаризации

Характеристики данных, передаваемых между двумя или несколькими объектами, такие как целостность, отправитель, время и получатель, могут быть гарантированы путем использования механизма нотаризации. Гарантия обеспечивается третьим участником — нотариусом, который получает полномочия от взаимодействующих логических объектов и обладает информацией, необходимой для предоставления запрашиваемой гарантии посредством метода, допускающего проверку. Каждый сеанс обмена данными может использовать механизмы цифровой подписи, шифрования и аутентификации в соответствии с видом услуги, предоставляемой нотариусом. При использовании такого механизма нотаризации данные передаются между двумя взаимодействующими объектами с помощью защищенных сеансов связи и через нотариуса.

5.4 Общеархитектурные механизмы защиты

В данном подразделе описан ряд механизмов, которые не являются специфичными для любой конкретной услуги. Так, в разделе 7 эти механизмы описаны неявно, как принадлежащие любому отдельному уровню. Некоторые из этих общеархитектурных механизмов защиты могут рассматриваться как аспекты административного управления защитой (см. также раздел 8). Назначение этих механизмов в основном прямо зависит от запрашиваемой степени защиты.

5.4.1 Доверительная функциональность

5.4.1.1 Доверительная функциональность должна использоваться для расширения области применения или повышения эффективности других механизмов защиты. Любая функциональность, непосредственно обеспечивающая механизмы защиты или доступ к ним, должна быть заслуживающей доверия.

5.4.1.2 Процедуры, используемые для гарантии включения таких доверительных функциональностей в соответствующие аппаратные и программные средства, не входят в предмет рассмотрения настоящего стандарта и в любом случае зависят от уровня воспринимаемой угрозы и ценности защищаемой информации.

5.4.1.3 Как правило, такие процедуры дорогостоящи и сложны в реализации. Эти проблемы могут быть минимизированы путем выбора архитектуры, позволяющей реализовать функции защиты в модулях, которые могут быть выполнены отдельно от функций, не связанных с защитой, и защищены от них.

5.4.1.4 Любая защита ассоциаций, устанавливаемых выше того уровня, на котором предусматривается эта защита, должна обеспечиваться другими средствами, например, соответствующей доверительной функциональностью.

5.4.2 Метки защиты

Ресурсы, включающие элементы данных, могут иметь связанные с ними метки защиты, например, метки, предназначенные для указания уровня чувствительности. Часто с транзитными данными необходимо передавать соответствующие метки защиты. Метка защиты может представлять собой дополнительные данные, связанные с передаваемыми данными, или может быть неявной, например, она может предполагаться при использовании специального ключа для шифрования данных или контекста данных, включающего описание отправителя или маршрута. Неявные метки защиты должны быть точно идентифицированы для обеспечения их соответствующей проверки. Кроме того, они должны быть надежно связаны с соответствующими данными.

5.4.3 .Обнаружение события

5.4.3.1 Обнаружение события, относящегося к защите, состоит в выявлении видимых нарушений защиты и может также представлять собой обнаружение "нормальных" событий, таких как успешное получение права на доступ (или подключение к системе). События, относящиеся к защите, могут распознаваться логическими объектами в рамках ВОС, включающими механизмы защиты. Спецификация параметров, составляющих какое-либо событие, обеспечивается административным управлением обработкой событий (см. 8.3.1). Обнаружение различных событий, относящихся к защите, может вызвать, например, одно или несколько следующих действий:

a) выдача локального сообщения о событии;

b) выдача удаленного сообщения о событии;

c) регистрация события в системном журнале (см. 5.4.3);

d) действие процедуры восстановления (см. 5.4.4).

Примерами событий, относящихся к защите, могут служить следующие ситуации:

а) нарушение специальной защиты;

b) выбранное специфическое событие;

c) переполнение счетчика количества ситуаций.

5.4.3.2 Стандартизация поля обнаружения события должна учитывать передачу информации, связанной с выдачей сообщения о событии и его регистрацией, а также синтаксическое и семантическое определения, используемые для передачи сообщения о событии и его регистрации.

5.4.4 Данные отслеживания защиты

5.4.4.1 Данные отслеживания защиты обеспечивают надежный механизм защиты, поскольку они предоставляют потенциальную возможность обнаружения и исследования пробелов защиты путем выдачи последующего анализа процедур защиты. Анализ процедур защиты предусматривает независимый просмотр и анализ системных записей и активностей для проверки адекватности системным функциям управления, обеспечения соответствия с принятой стратегией защиты и операционными процедурами, оценки нарушения защиты и выдачи рекомендаций о любых задаваемых изменениях в функциях управления, стратегии и процедурах защиты. Анализ процедур защиты требует регистрации информации, относящейся к защите, в виде данных отслеживания защиты, а также анализа информации, извлекаемой из данных отслеживания защиты, и уведомления о его результатах. Документирование или регистрация в системном журнале рассматриваются в качестве механизма защиты и описаны в настоящем разделе. Анализ и генерацию сообщений рассматривают в качестве функции административного управления защитой (см. 8.3.2).

5.4.4.2 Сбор информации о данных отслеживания защиты может удовлетворять различным требованиям путем определения типов событий, относящихся к защите и подлежащих регистрации (например, видимые нарушения защиты или завершение успешных операций).

Сведения о наличии данных отслеживания защиты могут служить в качестве сдерживающего фактора для некоторых потенциальных источников нарушения защиты.

5.4.4.3 Организация данных отслеживания защиты ВОС должна рассматриваться с учетом того, какая информация должна дополнительно записываться в системный журнал, при каких обстоятельствах эта информация должна документироваться, а также какие синтаксические и семантические определения должны использоваться для обмена информацией о данных отслеживания защиты.

5.4.5 Процедура восстановления защиты

5.4.5.1 Процедура восстановления защиты связана с запросами от таких механизмов, как функции обработки событий и административного управления, и выполняет действия по восстановлению в соответствии с используемым набором правил. Эти действия по восстановлению могут относиться к одному из следующих трех типов:

Немедленные действия могут привести к немедленному прерыванию операций, подобному разъединению соединения.

Временные действия могут привести к временной неработоспособности какого-либо логического объекта.

Долгосрочные действия могут привести к занесению логического объекта в "черный список" или к изменению ключа.

5.4.5.2 Объектами стандартизации являются протоколы действий процедуры восстановления и административного управления восстановлением защиты (см. 8.3.3).

5.5 Иллюстрация взаимоотношений услуг и механизмов защиты

В таблице 1 перечислены механизмы, которые по отдельности или в сочетании с другими механизмами рассматриваются в качестве возможных в некоторых случаях для обеспечения каждой услуги. Эта таблица представляет собой обзор таких взаимоотношений и не является исчерпывающей. Услуги и механизмы, приведенные в этой таблице, описаны в 5.2 и 5.3. Более подробное описание взаимоотношений приведено в разделе 6.

Таблица 1 — Механизмы обеспечения услуг

Циф- ровая под- пись

Управ- ление дос- тупом

Целос- тность
дан- ных

Обмен аутен- тифи- кацией

Запол- нение трафика

Управ- ление маршру- тизацией

Аутентификация равноправного логического объекта

Аутентификация отправителя данных

Услуга управления доступом

Конфиденциальность в режиме с установлением соединения

Конфиденциальность в режиме без установления соединения

Конфиденциальность выбранного поля

Конфиденциальность потока трафика

Целостность в режиме с установлением соединения с восстановлением

Целостность в режиме с установлением соединения без восстановления

Целостность выборочного поля в режиме с установлением соединения

Целостность в режиме без установления соединения

Целостность выборочного поля в режиме без установления соединения

Да — механизм считается возможным для использования как в отдельности, так и в сочетании с другими механизмами;

* — механизм считается невозможным для использования.

6 Взаимодействие услуг, механизмов и уровней

6.1 Принципы уровневой структуры защиты

6.1.1 Для определения распределения услуг защиты по уровням и последующего размещения по уровням механизмов защиты используются следующие принципы:

a) количество альтернативных способов предоставления услуги должно быть минимальным;

b) допускается построение систем защиты путем обеспечения услуг защиты на нескольких уровнях;

c) дополнительные функциональные возможности, необходимые для защиты, не обязательно должны дублировать существующие функции ВОС;

d) должно быть исключено нарушение независимости уровня;

e) объем доверительной функциональности должен быть минимальным;

f) в тех случаях, когда логический объект зависит от механизма защиты, обеспечиваемого каким-либо логическим объектом нижерасположенного уровня, любые промежуточные уровни должны быть построены таким образом, чтобы нарушение защиты было практически невозможным;

g) там, где это возможно, дополнительные функции защиты уровня должны быть определены таким образом, чтобы реализация отдельного(ых) самостоятельного(ых) модуля(ей) была исключена;

h) настоящий стандарт предполагается применять к открытым системам, которые состоят из оконечных систем, содержащих все семь уровней, и к ретрансляционным системам.

6.1.2 На каждом уровне могут потребоваться модификации определений услуг с целью обеспечения запросов для услуг защиты, независимо от того, обеспечиваются ли запрашиваемые услуги на данном или нижерасположенном уровнях.

6.2 Модель привлечения, административного управления и использования защищенных (N)-услуг

Данный подраздел должен рассматриваться совместно с разделом 8, который содержит общее описание принципов административного управления защитой. Предполагается, что механизмы и услуги защиты могут быть активизированы логическим объектом административного управления через интерфейс административного управления и/или путем привлечения услуги.

6.2.1 Определение средств защиты для сеанса связи

6.2.1.1 Общие положения

В данном подразделе приведено описание привлечения средств защиты для сеансов обмена данными в режимах с установлением и без установления соединения. В случае сеансов обмена данными в режиме с установлением соединения, услуги защиты обычно запрашиваются/подтверждаются во время установления соединения. В случае привлечения услуги защиты в режиме без установления соединения защита запрашивается/подтверждается для каждого примитива БЛОК-ДАННЫХ запрос.

Для упрощения последующего описания термин "запрос услуги" будет в дальнейшем означать либо установления соединения, либо передачу примитива БЛОК-ДАННЫХ запрос. Привлечение защиты для выбранных данных может осуществляться путем запроса защиты выбранных полей. Например, эта процедура может быть выполнена путем установления нескольких соединений, каждому из которых может быть присвоен различный тип или уровень защиты.

Такая архитектура защиты взаимоувязывает различные стратегии защиты, включая те, которые основаны на правилах, на идентификации и смешанного типа. Архитектура защиты также приспосабливает защиту, на которую налагаются административные требования, динамически выбираемую защиту, а также защиту смешанного типа.

6.2.1.2 Запросы услуги

При каждом запросе (N)-услуги (N+1)-логических объект может запросить необходимый тип желаемой защиты. Запрос (N)-услуги должен определить услугу защиты вместе с параметрами и любой дополнительной информацией, относящейся к защите (например, информацией о чувствительности и/или о метках защиты), для обеспечения заданного типа желаемой защиты.

Перед каждым сеансом обмена данными (N+1)-уровень должен обратиться к информационной базе административного управления защитой (ИБАУЗ) (см. 8.1). ИБАУЗ должна содержать информацию о требованиях, предъявляемых к защите административным управлением, относительно (N+1)-логического объекта. Доверительная функциональность необходима для усиления этих требований, предъявляемых к защите со стороны административного управления.

Обеспечение средств защиты во время сеанса обмена данными в режиме с установлением соединения может потребовать согласования запрашиваемых услуг защиты. Процедуры, необходимые для согласования механизмов и параметров защиты, могут выполняться в виде отдельной процедуры или являться неотъемлемой частью обычной процедуры установления соединения.

Если согласование выполняется в виде отдельной процедуры, результаты согласования (т.е. согласованный тип механизма защиты и параметры защиты, необходимые для обеспечения соответствующих услуг защиты) вводятся в ИБАУЗ (см. 8.1).

Если согласование выполняется как неотъемлемая часть обычной процедуры установления соединения, результаты согласования между (n)-логическими объектами будут временно сохранены в ИБАУЗ, Перед согласованием каждый (n)-логический объект должен иметь доступ к ИБАУЗ для получения информации, необходимой для согласования.

(N)-уровень должен отклонить запрос услуги, если он не подчиняется требованиям административного управления, которые записываются в ИБАУЗ для (N+1)-логического объекта.

(N)-уровень должен также дополнительно к запрашиваемым услугам защиты привлекать любые услуги защиты, которые определены в ИБАУЗ как обязательные для достижения заданного типа желаемой защиты.

Если (N+1)-логический объект не определяет заданного типа желаемой защиты, (N)-уровень будет подчиняться стратегии защиты в соответствии с информацией, записанной в ИБАУЗ. Это может привести к обмену данными с использованием средств защиты по умолчанию, предусмотренных в рамках, определенных для (N+1)-логического объекта в ИБАУЗ.

6.2.2 Предоставление услуг защиты

После определения комбинации требований к защите со стороны административного управления и динамически выбранных требований, как описано в 6.2.1, (N+1)-ypoвень будет пытаться обеспечить, как минимум, заданный тип желаемой защиты. Это может быть достигнуто одним или двумя следующими методами:

a) привлечение механизмов защиты непосредственно внутри (N)-уровня;

b) запрос услуг защиты из (N-1)-уровень. В этом случае область применения защиты должна быть расширена на (N)-услугу путем сочетания доверительной функциональности и/или специальных механизмов защиты в (N)-уровне.

Примечание — Последнее не обязательно означает, что все функциональные возможности на (N)-уровне должны быть доверительными.

Таким образом, (N)-уровень определяет свою способность обеспечить запрашиваемую желаемую защиту. Если он не имеет таких возможностей, обмен данными не происходит.

6.2.2.1 Установление защищенного (N)-соединения

Последующее рассмотрение касается предоставления услуг внутри (N)-уровня (в отличие от использования функций (N-1)-услуг).

В некоторых протоколах для обеспечения гарантированной желаемой защиты решающей является последовательность операций.

Предоставляются следующие услуги:

a) контроль исходящего доступа;

(N)-ypoвень может предусматривать средства контроля исходящего доступа, т.е. он может локально определять (со стороны ИБАУЗ), разрешено ли ему установление защищенного (N)-coединения.

b) аутентификация равноправного логического объекта;

Если желаемая защита включает аутентификацию равноправного логического объекта или если известно (со стороны ИБАУЗ), что (N)-объект получателя будет запрашивать аутентификацию равноправного логического объекта, то должен иметь место обмен информацией аутентификации. Выполнение последней процедуры может потребовать использования двух- или трехнаправленного квитирования для обеспечения запрашиваемой односторонней или взаимной аутентификации.

Иногда обмен информацией аутентификации может происходить в рамках обычных процедур установления (N)-соединения. При других обстоятельствах обмен информацией аутентификации может быть выполнен отдельно от процедуры установления (N)-соединения.

c) услуга управления доступом;

(N)-логический объект получателя или промежуточные логические объекты могут подчиняться требованиям управления доступом. Если удаленный механизм управления доступом запрашивает специальную информацию, то инициирующий (N)-логический объект предоставляет эту информацию внутри протокола (N)-уровня или через каналы административного управления.

Если была выбрана услуга полной или избирательной конфиденциальности, должно быть установлено защищенное (N)-соединение. Эта процедура может включать установление соответствующих рабочих ключей и согласование криптографических параметров данного соединения. Это может быть достигнуто путем выполнения предварительных действий в процессе обмена информацией аутентификации или с помощью отдельного протокола.

e) целостность данных;

Если была выбрана целостность всех (N)-пользовательских данных с восстановлением или без него либо целостность выбранных полей, должно быть установлено защищенное (N)-соединение. Это соединение может быть тем же, которое установлено для обеспечения услуги конфиденциальности и может обеспечивать аутентификацию. К данной услуге применимы те же самые требования, что и к услуге конфиденциальности для защищенного (N)-соединения;

f) услуга "безотказность".

Если была выбрана услуга "безотказность" с подтверждением отправителя, то должны быть установлены соответствующие криптографические параметры или защищенное соединение с логическим объектом нотаризации.

Если была выбрана услуга "безотказность" с подтверждением доставки, то должны быть установлены соответствующие параметры (которые отличаются от запрашиваемых параметров при услуге безотказности с подтверждением отправителя) или защищенное соединение с логическим объектом нотаризации.

Примечание — Установление защищенного (N)-соединения может оказаться безуспешным в связи с потерей согласованности криптографических параметров (возможно с отсутствием обладания соответствующими ключами) или из-за отклонения такого соединения со стороны механизма управления доступом.

6.2.3 Функционирование защищенного (N)-cоединения

6.2.3.1 В фазе передачи данных по защищенному (N)-соединению должны обеспечиваться согласованные услуги защиты.

Следующие услуги должны наблюдаться на границе (N)-услуги:

a) аутентификация равноправного логического объекта (по интервалам);

b) защита выбранных полей;

c) уведомление об активном вторжении (например, когда происходит манипуляция данных и предоставляемая услуга представляет собой "Целостность в режиме с установлением соединения без восстановления" см. 5.2.4.2).

Кроме того, могут потребоваться следующие услуги:

a) регистрация данных отслеживания защиты;

b) обнаружение и обработка события.

6.2.3.2 Следующие услуги используются для выборочного применения:

b) целостность данных (возможно с аутентификацией);

c) безотказность (получателя или отправителя).

1 Предлагается использовать два метода маркировки тех элементов данных, выбранных применяемой услугой. Первый метод включает использование строгой типизации. Предполагается, что уровень представления будет распознавать некоторые из таких типов, которые требуют применения определенных услуг защиты. Второй метод предполагает некоторую форму присвоения признаков отдельным элементам данных, требующих применения специальных услуг защиты.

2 Предполагается, что одна из причин обеспечения выборочного применения услуг защиты "безотказность" может вытекать из следующего сценария. Перед тем, как оба (N)-логических объекта придут к согласию, что окончательная версия элемента данных является обоюдно приемлемой, между ними по ассоциации происходит некоторая форма диалога согласования. В этот момент намеченный получатель может запросить отправителя применить услуги "безотказность" (с подтверждением как отправителя, так и доставки) для получения окончательной согласованной версии элемента данных. Отправитель запрашивает и получает эти услуги, передает элемент данных и впоследствии принимает уведомление о приеме и подтверждении получателем указанного элемента данных. Услуги защиты "безотказность" оповещают отправителя и получателя элемента данных о том, что этот элемент был успешно принят.

3 Обе услуги защиты "безотказность" (т.е. с подтверждением отправителя и доставки) привлекаются инициатором.

6.2.4 Обеспечение защищенной передачи данных в режиме без установления соединения

Не все услуги защиты, используемые в протоколах режима с установлением соединения, доступны для протоколов режима без установления соединения. В частности, на верхних уровнях, работающих в режиме с установлением соединения, должна быть предусмотрена, при необходимости, защита от удалений, вставок и воспроизведений. С помощью механизма установления отметок времени может обеспечиваться ограниченная защита от угрозы воспроизведений. Кроме того, многие другие услуги защиты не способны обеспечить такую же степень усиления защиты, которая может быть достигнута протоколами режима с установлением соединения.

К услугам защиты, которые применимы для передачи данных в режиме без установления соединения, относятся следующие:

a) аутентификация равноправного объекта (см. 5.2.1.1);

b) аутентификация отправителя данных (см. 5.2.1.2);

c) услуга управления доступом (см. 5.2.2);

d) конфиденциальность в режиме без установления соединения (см. 5.2.3.2);

e) конфиденциальность выбранных полей (см. 5.2.3.3);

f) целостность данных в режиме без установления соединения (см. 5.2.4.4);

g) целостность выбранных полей в режиме без установления соединения (см. 5.2.4.5);

h) услуга защиты "безотказность" с подтверждением отправителя (см. 5.2.5.1).

Эти услуги обеспечиваются с помощью механизмов шифрования, цифровой подписи, управления доступом, маршрутизации, целостности данных и/или нотаризации (см. 5.3).

Инициатор передачи данных в режиме без установления соединения должен обеспечить, чтобы его отдельный СБД содержал всю информацию, необходимую для распознавания этого СБД на стороне получателя.

7 Размещение услуг и механизмов защиты

В данном разделе определены те услуги защиты, которые должны обеспечиваться в рамках базовой эталонной модели ВОС, и описаны методы получения этих услуг. Обеспечение любой услуги защиты является факультативным и зависит от предъявляемых требований.

Если в данном разделе конкретная услуга защиты определена как факультативно обеспечиваемая определенным уровнем, то эта услуга обеспечивается механизмами защиты, функционирующими внутри этого уровня, если не оговорено иное. Как описано в разделе 6, многие уровни могут предлагать обеспечение конкретных услуг защиты. Такие уровни не всегда предусматривают услуги защиты внутри самих себя, однако они могут использовать соответствующие услуги защиты, обеспечиваемые нижерасположенными уровнями. Даже если в рамках какого-то уровня не предусмотрено никаких услуг защиты, определения услуг этого уровня могут потребовать некоторой модификации, чтобы позволить выдачу на нижерасположенный уровень запросов на услуги защиты.

1 Общеархитектурные механизмы защиты (см. 5.4) не рассматриваются в настоящем разделе.

2 Выбор позиции механизмов шифрования для прикладных применений рассмотрен в приложении С.

7.1 Физический уровень

На физическом уровне предусматриваются только следующие услуги защиты, используемые как по отдельности, так и в сочетании:

a) конфиденциальность в режиме с установлением соединения;

b) конфиденциальность потока трафика.

Услуга конфиденциальности потока трафика может принимать две формы:

a) полная конфиденциальность потока трафика, которая может обеспечиваться только в определенных ситуациях, например, при дуплексной одновременной синхронной двухпунктовой передаче;

b) ограниченная конфиденциальность потока трафика, которая может обеспечиваться при других типах передачи, например, асинхронной.

Эти услуги защиты ограничиваются только ситуациями пассивных угроз и могут использоваться на двух- и многопунктовых звеньях данных.

На физическом уровне основным механизмом защиты является механизм полного шифрования потока данных.

Специфичной формой шифрования, приемлемой только на физическом уровне, является защита передачи (т.е. защита по ширине частотного спектра).

Защита физического уровня обеспечивается устройством шифрования, которое работает в прозрачном режиме. Назначение защиты на физическом уровне состоит в том, чтобы защитить полностью битовый поток сервисных данных физического уровня и обеспечить конфиденциальность потока трафика.

7.2 Уровень звена данных

На уровне звена данных обеспечиваются только следующие услуги защиты:

a) конфиденциальность в режиме с установлением соединения;

b) конфиденциальность в режиме без установления соединения.

На уровне звена данных для обеспечения услуг защиты используется механизм шифрования (см., однако, приложение С).

Функции защиты на уровне звена данных выполняются до выполнения обычных функций уровня по передаче и после выполнения обычных функций уровня по приему, т.е. механизмы защиты строятся на основе обычных функций уровня и используют их.

Механизмы шифрования на уровне звена данных чувствительны к протоколу уровня звена.

7.3 Сетевой уровень

Внутренняя структура сетевого уровня предназначена для обеспечения протокола(ов), выполняющего(их) следующие операции:

a) доступ к подсети;

b) сходимость, зависящая от подсети;

c) сходимость, не зависящая от подсети;

d) ретрансляция и маршрутизация (см. 2.4).

Услуги защиты, которые обеспечиваются протоколом, выполняющим функции доступа к подсети, относящиеся к обеспечению услуг сетевого уровня ВОС, перечислены ниже:

a) аутентификация равноправного логического объекта;

b) аутентификация отправителя данных;

c) услуга управления доступом;

d) конфиденциальность в режиме с установлением соединения;

e) конфиденциальность в режиме без установления соединения;

f) конфиденциальность потока трафика;

g) целостность данных в режиме с установлением соединения без восстановления;

h) целостность данных в режиме без установления соединения.

Эти услуги защиты могут обеспечиваться как по отдельности, так и в сочетании. Услуги защиты, которые предусматриваются протоколом, выполняющим операции ретрансляции и маршрутизации между оконечными системами в соответствии с предоставляемыми услугами сетевого уровня ВОС, аналогичны услугам, которые обеспечивает протокол, выполняющий операции доступа к подсети.

7.3.2.1 Протоколы, выполняющие операции доступа к подсети, ретрансляции и маршрутизации между оконечными системами в соответствии с предоставляемыми услугами сетевого уровня ВОС, используют идентичные механизмы защиты. На этом уровне выполняется маршрутизация, и поэтому в нем предусмотрено управление маршрутизацией. Обеспечиваются следующие перечисленные ниже услуги защиты:

a) услуга аутентификации равноправного логического объекта, обеспечиваемая соответствующим сочетанием обменов криптографически полученной или защищенной информацией аутентификации, паролями защиты или механизмами подписи;

b) услуга аутентификации отправителя данных, которая может быть предоставлена механизмами шифрования или подписи;

c) услуга управления доступом, обеспечиваемая путем соответствующего использования конкретных механизмов управления доступом;

d) услуга конфиденциальности в режиме с установлением соединения, обеспечиваемая механизмами шифрования и/или управления маршрутизацией;

e) услуга конфиденциальности в режиме без установления соединения, обеспечиваемая механизмами шифрования или управления маршрутизацией;

f) услуга конфиденциальности потока трафика, обеспечиваемая механизмом заполнения трафика совместно с услугой конфиденциальности на сетевом или нижерасположенном уровнях и/или механизмом управления маршрутизацией;

g) услуга целостности в режиме с установлением соединения без восстановления, обеспечиваемая путем использования механизма целостности данных, иногда в сочетании с механизмом шифрования, и

h) услуга целостности в режиме без установления соединения, обеспечиваемая путем использования механизма целостности данных, иногда в сочетаний с механизмом шифрования.

7.3.2.2 Механизмы протокола, который выполняет операции доступа к подсети, связанные с услугами сетевого уровня ВОС, между оконечными системами, обеспечивают услуги в рамках отдельной подсети.

Защита подсети, устанавливаемая администрацией этой подсети, должна применяться в соответствии с требованиями протоколов доступа к подсети, но обычно она должна использоваться перед выполнением обычных функций подсети по передаче и после выполнения обычных функций подсети по приему.

7.3.2.3 Механизмы, обеспечиваемые протоколом, который выполняет операции ретрансляции и маршрутизации между двумя оконечными системами в сочетании с услугами сетевого уровня ВОС, обеспечивают услуги в рамках одной или нескольких взаимосвязанных сетей.

Эти механизмы должны привлекаться до выполнения функций ретрансляции и маршрутизации при передаче и после выполнения этих функций на принимающей стороне. В случае использования механизма управления маршрутизацией из БАУИЗ выбираются соответствующие ограничения на маршрутизацию перед выдачей функциям ретрансляции и маршрутизации данных вместе с необходимыми ограничениями маршрута.

7.3.2.4 Управление доступом на сетевом уровне может служить многим целям. Например, оно позволяет оконечной системе управлять установлением соединений сетевого уровня и отклонять нежелательные вызовы. Оно позволяет также одной или нескольким подсетям управлять использованием ресурсов сетевого уровня. В некоторых случаях эта последняя функция связана с оплатой за пользование сетью.

Примечание — Установление соединения сетевого уровня может часто приводить к начислению оплаты со стороны администрации подсети. Минимизация стоимости может быть достигнута путем управления доступом, выбора реверсивной тарификации или других конкретных сетевых параметров.

7.3.2.5 Требования конкретной подсети могут обуславливать необходимость механизмов управления доступом со стороны протокола, который выполняет операции доступа к подсети, связанные с обеспечением сетевых услуг ВОС между оконечными системами. Если такие механизмы управления доступом обеспечиваются протоколом, который выполняет операции ретрансляции и маршрутизации, связанные с обеспечением сетевых услуг ВОС между оконечными системами, то они могут использоваться как для управления доступом к подсети со стороны логических объектов ретранслятора, так и для управления доступом к оконечным системам. Очевидно, что степень изоляции средств управления доступом может лишь весьма приблизительно определять различия между логическими объектами сетевого уровня.

7.3.2.6 Если заполнение трафика используется совместно с механизмом шифрования на сетевом уровне (или с услугой конфиденциальности, предоставляемой физическим уровнем), то может быть достигнут приемлемый уровень конфиденциальности потока графика.

7.4 Транспортный уровень

На транспортном уровне могут обеспечиваться следующие услуги защиты, используемые по отдельности или в сочетании:

a) аутентификация равноправного логического объекта;

b) аутентификация отправителя данных;

c) услуга управления доступом;

d) конфиденциальность в режиме с установлением соединения;

e) конфиденциальность в режиме без установления соединения;

f) целостность в режиме с установлением соединения с восстановлением;

g) целостность в режиме с установлением соединения без восстановления;

h) целостность в режиме без установления соединения.

Обеспечиваются следующие идентифицированные услуги защиты:

a) услуга аутентификации равноправного логического объекта, которая обеспечивается соответствующей комбинацией криптографической или защищенной обмениваемой информацией аутентификации, защитных паролей и механизмов подписи;

b) услуга аутентификации отправителя данных, которая может обеспечиваться механизмами шифрования или подписи;

c) услуга управления доступом, обеспечиваемая путем соответствующего использования специальных механизмов управления доступом;

d) услуга конфиденциальности в режиме с установлением соединения, обеспечиваемая механизмами шифрования;

e) услуга конфиденциальности в режиме без установления соединения, обеспечиваемая механизмами шифрования;

f) услуга целостности в режиме с установлением соединения с восстановлением, обеспечиваемая путем использования механизма целостности данных, иногда в сочетании с механизмом шифрования;

g) услуга целостности в режиме с установлением соединения без восстановления, обеспечиваемая путем использования механизма целостности данных, иногда в сочетании с механизмом шифрования;

h) услуга целостности в режиме без установления соединения, обеспечиваемая путем использования механизма целостности данных, иногда в сочетании с механизмом шифрования.

Механизмы защиты должны функционировать таким образом, чтобы услуги защиты могли привлекаться для отдельных соединений транспортного уровня. Защита должна быть такой, чтобы отдельные соединения транспортного уровня можно было изолировать от всех остальных соединений транспортного уровня.

7.5 Сеансовый уровень

На сеансовом уровне не предусматривается никаких услуг защиты.

7.6 Уровень представления

Уровень представления должен обеспечивать функциональные возможности в поддержку следующих услуг защиты, которые предоставляет прикладной уровень прикладным процессам:

a) конфиденциальность в режиме с установлением соединения;

b) конфиденциальность в режиме без установления соединения;

c) конфиденциальность выбранных полей.

Функциональные возможности уровня представления данных могут также поддерживать предоставление прикладным уровнем прикладным процессам следующих услуг защиты:

d) конфиденциальность потока трафика;

e) аутентификация равноправного логического объекта;

f) аутентификация отправителя данных;

g) целостность в режиме с установлением соединения с восстановлением;

h) целостность в режиме с установлением соединения без восстановления;

j) целостность выбранных полей в режиме с установлением соединения;

k) целостность в режиме без установления соединения;

m) целостность выбранных полей в режиме без установления соединения;

n) безотказность с подтверждением отправителя;

р) безотказность с подтверждением доставки.

Примечание — Функциональные возможности уровня представления должны использовать механизмы, которые могут функционировать только в соответствии с правилами кодирования данных на основе синтаксиса передачи, включая, например, такие механизмы, которые базируются на криптографических методах.

Для следующих услуг защиты поддерживающие механизмы могут быть размещены на уровне представления, и в этом случае они могут использоваться совместно с механизмами защиты прикладного уровня для поддержки его услуг защиты:

a) услуга аутентификации равноправного логического объекта может быть обеспечена механизмами, преобразования синтаксиса (например, шифрованием);

b) услуга аутентификации отправителя данных может быть обеспечена механизмами шифрования или подписи;

c) услуга конфиденциальности в режиме с установлением соединения может быть обеспечена механизмом шифрования;

d) услуга конфиденциальности в режиме без установления соединения может быть обеспечена механизмом шифрования;

e) услуга конфиденциальности выборочного поля может быть обеспечена механизмом шифрования;

f) услуга конфиденциальности потока трафика может быть обеспечена механизмом шифрования;

g) услуга целостности в режиме с установлением соединения с восстановлением может быть обеспечена механизмом целостности данных, иногда совместно с механизмом шифрования;

h) услуга целостности в режиме с установлением соединения без восстановления может быть обеспечена механизмом целостности данных, иногда совместно с механизмом шифрования;

j) услуга целостности выбранных полей в режиме с установлением соединения может быть обеспечена механизмом целостности данных, иногда совместно с механизмом шифрования;

k) услуга целостности в режиме без установления соединения может быть обеспечена механизмом целостности данных, иногда совместно с механизмом шифрования;

m) услуга целостности выбранных полей в режиме без установления соединения может быть обеспечена механизмом целостности данных, иногда совместно с механизмом шифрования;

n) услуга "безотказность" с подтверждением отправителя может быть обеспечена соответствующей комбинацией механизмов целостности данных, подписи и нотаризации;

р) услуга "безотказность" с подтверждением доставки может быть обеспечена соответствующей комбинацией механизмов целостности данных, подписи и нотаризации.

При размещении на верхних уровнях механизмов шифрования, используемых для обеспечения передачи данных, они должны располагаться на уровне представления.

Некоторые из перечисленных выше услуг защиты могут быть альтернативно обеспечены механизмами защиты, целиком расположенными на прикладном уровне.

Услуги защиты, которые относятся только к конфиденциальности, могут быть полностью обеспечены механизмами защиты, содержащимися на уровне представления.

Механизмы защиты на уровне представления функционируют в качестве последней стадии преобразования в синтаксис передачи в режиме передачи данных и в качестве начальной стадии процесса преобразования в режиме приема данных.

7.7 Прикладной уровень

Прикладной уровень может обеспечить одну или несколько следующих основных услуг защиты, используемых как по отдельности, так и в сочетании:

a) аутентификация равноправного логического объекта;

b) аутентификация отправителя данных;

c) услуга управления доступом;

d) конфиденциальность в режиме с установлением соединения;

e) конфиденциальность в режиме без установления соединения;

f) конфиденциальность выбранных полей;

g) конфиденциальность потока трафика;

h) целостность в режиме с установлением соединения с восстановлением;

j) целостность в режиме с установлением соединения без восстановления;

к) целостность выбранных полей в режиме с установлением соединения;

m) целостность в режиме без установления соединения;

n) целостность выбранных полей в режиме без установления соединения;

р) безотказность с подтверждением отправителя;

q) безотказность с подтверждением доставки.

Аутентификация партнеров, желающих обмениваться данными, предусматривает поддержку средств управления доступом к ресурсам как в рамках ВОС, так и вне ВОС (например, файлы, программное обеспечение, терминалы, принтеры) в реальных открытых системах.

Определение специальных требований к защите в сеансе обмена данными, включая конфиденциальность данных, целостность и аутентификацию, может осуществляться административным управлением защиты ВОС или административным управлением прикладного уровня на основе информации, содержащейся в ИБАУЗ в дополнение к запросам, выдаваемым прикладным процессом.

Услуги защиты на прикладном уровне обеспечиваются с помощью следующих механизмов:

a) услуга аутентификации равноправного объекта может быть обеспечена путем использования информации аутентификации, передаваемой между прикладными объектами, защищенными механизмами шифрования, уровня представления или нижерасположенного уровня;

b) услуга аутентификации отправителя данных может быть обеспечена путем использования механизмов подписи или механизмов шифрования смежного нижнего уровня;

c) услуга управления доступом к тем аспектам реальной открытой системы, которые являются постоянными для ВОС, например, способности реальной открытой системы связываться с конкретными системами или удаленными прикладными объектами, может быть обеспечена сочетанием механизмов управления доступом на прикладном и нижерасположенных уровнях;

d) услуга конфиденциальности в режиме с установлением соединения может быть обеспечена путем использования механизма шифрования нижерасположенного уровня;

e) услуга конфиденциальности в режиме без установления соединения может быть обеспечена путем использования механизма шифрования нижерасположенного уровня;

f) услуга конфиденциальности выбранных полей может быть обеспечена путем использования механизма шифрования на уровне представления;

g) услуга конфиденциальности ограниченного потока трафика может быть обеспечена путем совместного использования механизма заполнения трафика на прикладном уровне и услуги конфиденциальности на нижерасположенном уровне;

h) услуга целостности данных в режиме с установлением соединения с восстановлением может быть обеспечена путем использования механизма целостности данных на нижерасположенном уровне, иногда совместно с механизмом шифрования;

j) услуга целостности данных в режиме с установлением соединения без восстановления может быть обеспечена путем использования механизма целостности данных на нижерасположенном уровне, иногда совместно с механизмом шифрования;

k) услуга целостности выбранных полей в режиме с установлением соединения может быть обеспечена путем использования механизма целостности данных, иногда совместно с механизмом шифрования на уровне представления;

m) услуга целостности данных в режиме без установления соединения может быть обеспечена путем использования механизма целостности данных на нижерасположенном уровне, иногда совместно с механизмом шифрования;

n) услуга целостности выбранных полей в режиме без установления соединения может быть обеспечена путем использования механизма целостности данных, иногда совместно с механизмом шифрования на уровне представления;

р) услуга "безотказность" с подтверждением отправителя может быть обеспечена соответствующей комбинацией механизмов целостности данных и подписи на нижерасположенном уровне, возможно в сочетании с нотаризацией третьей стороной;

q) услуга "безотказность" с подтверждением доставки может быть обеспечена соответствующей комбинацией механизмов целостности данных и подписи на нижерасположенном уровне, возможно в сочетании с нотаризацией третьей стороной.

Если для обеспечения услуги защиты "безотказность" используется механизм нотаризации, он должен функционировать как доверенная третья сторона. Этот механизм может содержать запись блоков данных, ретранслируемую в их формате передачи (т.е. в синтаксисе передачи) и предназначенную для разрешения соперничества. Механизм нотаризации может также использовать услуги защиты, предоставляемые нижерасположенными уровнями.

7.7.3 Услуги защиты, не входящие в сферу ВОС

Прикладные процессы могут сами практически обеспечивать все услуги и использовать те же типы механизмов, которые были описаны в настоящем стандарте как механизмы, соответствующим образом размещенные в различных уровнях архитектуры. Такое использование не входит в область распространения ВОС, однако оно не является несовместимым с определениями услуг и протоколов и с архитектурой ВОС.

7.8 Иллюстрация взаимоотношения между услугами защиты и уровнями

В таблице 2 приведены уровни эталонной модели, которые могут обеспечивать конкретные услуги защиты. Описания услуг защиты приведены в 5.2. Обоснование размещения услуг защиты на конкретных уровнях приведено в приложении В.

Аутентификация равноправного логического объекта

Аутентификация источника данных

Услуга управления доступом

Конфиденциальность в режиме с установлением соединения

Конфиденциальность в режиме без установления соединения

Конфиденциальность выборочного поля

Конфиденциальность потока трафика

Целостность в режиме с установлением соединения с восстановлением

Целостность в режиме с установлением соединения без восстановления

Целостность выборочного поля в режиме с установлением соединения

Целостность в режиме без установления соединения

Целостность выборочного поля в режиме без установления соединения

Безотказность с подтверждением отправителя

Безотказность с подтверждением доставки

Да — услуга должна предусматриваться в стандартах по соответствующему уровню в качестве факультативной возможности поставщика;

* — относительно уровня 7 следует заметить, что прикладной процесс сам может обеспечивать услуги защиты.

1 При составлении таблицы 2 не ставилась задача показать, что ее элементы имеют одинаковый вес и значимость; наоборот, существует значительная градация масштаба относительно элементов таблицы.

2 Размещение услуг защиты внутри сетевого уровня описано в 7.3.2. Позиция услуг защиты внутри сетевого уровня существенным образом влияет на характер и область применения обеспечиваемых им услуг.

3 Уровень представления содержит ряд средств защиты, которые обеспечивают предоставление услуг защиты прикладным уровнем.

8 Административное управление защитой

8.1 Общие положения

8.1.1 Административное управление защитой ВОС касается тех аспектов административного управления защитой, которые относятся к ВОС и к защите административного управления ВОС. Аспекты административного управления защитой ВОС связаны с теми операциями, которые не относятся к обычным сеансам обмена данными, но которые необходимы для обеспечения и контроля аспектов защиты этих обменов данными.

Примечание — Доступность услуги обмена данными определяется построением сети и/или протоколами административного управления сетью. Для предотвращения отклонения услуги необходим соответствующий выбор последних.

8.1.2 Может существовать несколько стратегий защиты, устанавливаемых администрацией(ями) распределенных открытых систем, и стандарты административного управления защитой ВОС должны обеспечивать такие стратегии. Объекты, которые подчиняются отдельной стратегии защиты, устанавливаемой отдельным полномочным административным органом, иногда объединяются в так называемую "область защиты". Области защиты и их взаимосвязи являются важной сферой для будущего расширения.

8.1.3 Административное управление защитой ВОС относится к административному управлению услугами и механизмами защиты ВОС. Такое управление требует распределения информации административного управления между этими услугами и механизмами, а также сбора информации, относящейся к работе этих услуг и механизмов. Примерами могут служить распределение криптографических ключей, установка административно назначаемых параметров выбора защиты, выдача сообщений как о нормальных, так и об аварийных ситуациях защиты (данные отслеживания защиты), а также активизация и деактивизация услуг. Административное управление защитой не касается прохождения информации, относящейся к защите, в протоколах, которые привлекают специальные услуги защиты (например, в параметрах запросов на соединение).

8.1.4 Информационная база административного управления защитой (ИБАУЗ) является концептуальным хранилищем всей информации, относящейся к защите, необходимой открытым системам. Такой подход не устанавливает какой-либо формы для хранения информации или ее реализации. Однако каждая оконечная система должна содержать необходимую локальную информацию, позволяющую ей приводить в действие соответствующую стратегию защиты. ИБАУЗ является распределенной информационной базой с такой степенью распределения, которая необходима для обеспечения согласованной стратегии защиты в (логической или физической) группировке оконечных систем. На практике области ИБАУЗ могут входить или не входить в состав ИБАУ.

Примечание — Может существовать множество реализации ИБАУЗ, например:

a) таблица данных;

c) данные или правила, содержащиеся в рамках программного или аппаратного обеспечения реальной открытой системы.

8.1.5 Протоколы административного управления, особенно протоколы административного управления защитой, и каналы передачи данных, передающие информацию административного управления, являются потенциально уязвимыми. Поэтому особое внимание следует уделять обеспечению таких протоколов и информации административного управления защитой, чтобы средства защиты, предоставляемые для обычных сеансов обмена данными, не были ослаблены.

8.1.6 Административное управление защитой может потребовать обмена информацией, относящейся к защите, между различными системными администраторами с целью установления или расширения ИБАУЗ. В некоторых случаях информация, относящаяся к защите, будет проходить через маршруты обмена данными, существующие вне ВОС, и локальные системные администраторы будут модифицировать содержимое ИБАУЗ методами, не стандартизованными в рамках ВОС. В других случаях может оказаться целесообразным организовать обмен подобной информацией по маршрутам обмена данными ВОС, когда информация будет передаваться между двумя прикладными системами административного управления защитой, реализованными в рамках реальной открытой системы. Прикладные системы административного управления защитой будет использовать передаваемую по маршрутам обмена данными информацию для модификации ИБАУЗ. Такая модификация ИБАУЗ может потребовать предварительного предоставления полномочий соответствующему администратору защиты.

8.1.7 Прикладные протоколы должны быть определены для обмена информацией, относящейся к защите, по каналам обмена данных ВОС.

8.2 Категории административного управления защитой ВОС

Существует три категории активностей административного управления защитой ВОС:

а) административное управление защитой системы;

b) административное управление услугами защиты;

с) административное управление механизмами защиты.

Кроме того, должна быть рассмотрена защита самого административного управления ВОС (см. 8.2.4). Ключевые функции, выполняемые этими категориями административного управления защитой, обобщены ниже.

8.2.1 Административное управление защитой системы

Административное управление защитой системы рассматривается с точки зрения аспектов административного управления защитой всей функциональной среды ВОС. Приводимый ниже перечень является типичным для активностей, попадающих в эту категорию административного управления защитой:

а) административное управление общей стратегией защиты, включая модификации и поддержание совместимости;

b) взаимодействие с другими функциями административного управления ВОС;

c) взаимодействие с административным управлением услугами и механизмами защиты;

d) административное управление обработкой событий (см. 8.3.1);

e) административное управление анализом процедур защиты (см. 8.3.2);

f) административное управление восстановлением защиты (см. 8.3.3).

8.2.2 Административное управление услугами защиты

Административное управление услугами защиты относится к административному управлению конкретными услугами защиты. Приводимый ниже перечень является типичным для активностей, выполняемых при административном управлении конкретной услугой защиты:

a) определение и присвоение средства желаемой защиты при заданной услуге;

b) присвоение и поддержание правил выбора (при наличии альтернатив) конкретного механизма защиты, используемого для обеспечения запрашиваемой услуги защиты;

c) согласование (локальное или удаленное) доступных механизмов защиты, требующих предварительной настройки административного управления;

d) привлечение конкретных механизмов защиты через соответствующую функцию административного управления механизмами защиты, например, для обеспечения административно назначаемых услуг защиты;

e) взаимодействие с другими функциями административного управления услугами и механизмами защиты.

8.2.3 Административное управление механизмами защиты

Административное управление механизмами защиты относится к административному управлению конкретными механизмами защиты. Следующий перечень функций административного управления механизмами защиты является типичным, но не исчерпывающим:

а) административное управление ключами;

b) административное управление шифрованием;

c) административное управление цифровой подписью;

d) административное управление доступом;

e) административное управление целостностью данных;

f) административное управление аутентификацией;

g) административное управление заполнением трафика;

h) административное управление маршрутизацией;

j) административное управление нотаризацией;

Каждая из вышеперечисленных функций административного управления механизмами защиты более подробно рассмотрена в 8.4.

8.2.4 Защита административного управления ВОС

Защита всех функций административного управления ВОС и обмена информацией административного управления ВОС является важной составной частью защиты ВОС. Эта категория административного управления защитой потребует соответствующего выбора вышеперечисленных услуг и механизмов защиты ВОС с целью обеспечения адекватной защиты протоколов и информации административного управления (см. 8.1.5). Например, обмен данными между логическими объектами административного управления с использованием информационной базы административного управления, в общем случае, потребует некоторой формы защиты.

8.3 Конкретные активности административного управления защитой системы

8.3.1 Административное управление обработкой событий

Аспекты административного управления обработкой событий, распознаваемых в ВОС, представляют собой удаленную выдачу сообщений об очевидных попытках нарушения защиты системы и изменении допустимых значений, используемых для реализации результатов этих сообщений об ошибках.

8.3.2 Административное управление анализом процедур защиты

Административное управление анализом процедур защиты может включать следующие функции:

a) выбор событий, подлежащих регистрации и/или удаленному сбору;

b) разрешение и запрещение регистрации в системном журнале данных отслеживания защиты выбранных событий;

c) удаленный сбор выбранных записей анализа процедур;

d) подготовка отчетов об анализе процедур защиты.

8.3.3 Административное управление восстановлением защиты

Административное управление восстановлением защиты может охватывать следующие функции:

a) обслуживание правил реагирования на реальные или предполагаемые нарушения защиты;

b) удаленная выдача сообщений об очевидных нарушениях защиты системы;

c) взаимодействия администратора защиты.

8.4 Функции административного управления механизмами защиты

8.4.1 Административное управление ключами

Административное управление ключами может охватывать следующие функции:

a) генерация соответствующих ключей в соизмеримые с требуемым уровнем защиты интервалы времени;

b) определение в соответствии с требованиями к управлению доступом тех логических объектов, которые должны получить копию каждого ключа;

c) обеспечение защищенной доступности или распределения ключей по запросам объектов в реальной открытой системе.

Предполагается, что некоторые функции административного управления ключами должны осуществляться вне функциональной среды ВОС. Сюда относится физическое распределение ключей доверительными методами.

Обмен рабочими ключами, используемыми во время действия ассоциации, является нормальной функцией уровневого протокола. Выбор рабочих ключей может также осуществляться посредством доступа к центру распределения ключей или путем предварительного распределения через протоколы административного управления.

8.4.2 Административное управление шифрованием

Административное управление шифрованием может включать следующие функции:

а) взаимосвязь с административным управлением ключами;

b) установление криптографических параметров;

c) криптографическая синхронизация.

Наличие механизма шифрования предполагает использование административного управления ключами и общих методов обращения к криптографических алгоритмам.

Степень избирательности защиты, обеспечиваемая шифрованием, определяется теми логическими объектами внутри функциональной среды ВОС, которым присваиваются независимые ключи. Это, в свою очередь, определяется, в общем случае, архитектурой защиты и особенно механизмом административного управления ключами.

Общей ссылкой для криптографических алгоритмов может служить использование соответствующего регистра криптографических алгоритмов или предварительное согласование между логическими объектами.

8.4.3 Административное управление цифровой подписью

Административное управление цифровой подписью включает следующие функции:

a) взаимосвязь с административным управлением ключами;

b) установление криптографических параметров и алгоритмов;

c) использование протокола между связанными логическими объектами, а возможно, и третьей стороной.

Примечание — В общем случае существует большая аналогия между административным управлением цифровой подписью и шифрованием.

8.4.4 Административное управление доступом

Административное управление доступом может предусматривать распределение атрибутов защиты (включая пароли) или модификации списков управления доступом или списков возможностей. Оно может также предусматривать использование протокола между взаимодействующими логическими объектами и другими логическими объектами, обеспечивающими услуги управления доступом.

8.4.5 Административное управление целостностью данных

Административное управление целостностью данных может включать следующие функции:

a) взаимосвязь с административным управлением ключами;

b) установление криптографических параметров и алгоритмов;

c) использование протокола между взаимодействующими логическими объектами.

Примечание — При использовании криптографических методов для обеспечения целостности данных существует большая аналогия между административным управлением целостностью данных и шифрованием.

8.4.6 Административное управление аутентификацией

Административное управление аутентификацией может предусматривать распределение описательной информации, паролей или ключей (с использованием административного управления ключами) между логическими объектами, запрашиваемыми для выполнения аутентификации. Оно может также включать использование протокола между связанными логическими объектами и другими логическими объектами, предоставляющими услуги аутентификации.

8.4.7 Административное управление заполнением трафика

Административное управление заполнением трафика может предусматривать поддержание правил, используемых для заполнения трафика. Например, оно может включать следующие функции:

a) предварительное установление скоростей передачи данных;

b) установление произвольных скоростей передачи данных;

c) установление характеристик сообщений, таких как длина, и

d) изменение спецификации, возможно, в зависимости от времени суток и/или дня недели.

8.4.8 Административное управление маршрутизацией

Административное управление маршрутизацией может охватывать определение звеньев данных или подсетей, которые считаются защищенными или достоверными относительно конкретных критериев.

8.4.9 Административное управление нотаризацией

Административное управление нотаризацией может включать следующие функции:

a) распределение информации о нотариусах;

b) использование протокола между нотариусом и взаимодействующими объектами;

c) взаимодействие с нотариусом.

ПРИЛОЖЕНИЕ А (справочное). Общие принципы построения защиты в рамках ВОС

А.1 Основные положения

Данное приложение содержит:

a) информацию о защите ВОС, предназначенную для определения некоторых перспектив развития настоящего стандарта;

b) общие положения по архитектурным применениям различных средств защиты и требований к ним.

Защита в функциональной среде ВОС представляет собой как раз один из аспектов защиты обработки/передачи данных. Для обеспечения эффективности средств защиты, используемых в функциональной среде ВОС, необходимо наличие поддерживающих средств, находящихся вне ВОС. Например, информация, передаваемая между системами, может быть зашифрована, но, если на доступ к самим системам не будет наложено никаких физических ограничений защиты, шифрование может оказаться безуспешным. Кроме того, к ВОС относится только взаимосвязь систем. Для обеспечения эффективности средств защиты ВОС они должны использоваться совместно со средствами, не входящими в область распространения ВОС.

А.2 Требования к защите

А.2.1 Что понимается под защитой?

Термин "защита" используется в смысле минимизации уязвимости средств и ресурсов. Любое средство обладает какой-либо ценностью. Уязвимость — это некая слабость, которую можно использовать для нарушения системы или содержащейся в ней информации. Угроза — это потенциально возможное нарушение защиты.

А.2.2 Обоснование защиты в открытых системах

Международная организация по стандартизации (ИСО) признала необходимой разработку семейства стандартов, обеспечивающих защиту в рамках архитектуры взаимосвязи открытых систем. Такая необходимость обусловлена следующими причинами:

а) увеличением зависимости общества от вычислительных машин, которые доступны через каналы передачи данных или взаимосвязаны этими каналами и которые требуют наличия защиты от различных угроз;

b) появлением во многих странах законов по "защите данных", которое обязывает производителей демонстрировать целостность и частную принадлежность системы;

с) желанием различных организаций использовать стандарты ВОС, расширяемые при необходимости, при создании существующих и планируемых на будущее закрытые системы.

А.2.3 Что подлежит защите?

В общем случае защите подлежат следующие компоненты:

a) информация и данные (включая программное обеспечение и относящиеся к средствам защиты пассивные данные, такие как пароли);

b) услуги передачи и обработки данных;

c) оборудование и средства.

Угрозы системе передачи данных означают следующее:

a) разрушение информации и/или других ресурсов;

b) искажение или модификацию информации;

с) хищение, удаление или потерю информации и/или других ресурсов;

d) раскрытие информации;

e) прерывание обслуживания.

Угрозы могут классифицироваться на случайные и преднамеренные и могут быть активными и пассивными.

А.2.4.1 Случайные угрозы

Случайные угрозы — это те угрозы, которые возникают непреднамеренно. Примерами реальных случайных угроз могут служить отказы системы, операционные грубые ошибки и ошибки в программных комплектах.

А.2.4.2 Преднамеренные угрозы

Преднамеренные угрозы могут быть различных видов: от небрежного анализа, использующего легкодоступные средства управления, до изощренных вторжений с использованием специальных сведений о системе. Реализуемая преднамеренная угроза может рассматриваться как "вторжение".

А 2.4.3 Пассивные угрозы

К пассивным угрозам относятся те, которые при их реализации не приводят к какой-либо модификации любой информации, содержащейся в системе(ах), и где работа и состояние системы не изменяются. Использование пассивного перехвата для анализа информации, передаваемой по каналам связи, представляет собой реализацию пассивной угрозы.

А.2.4.4 Активные угрозы

Активные угрозы системе означают изменение информации, содержащейся в системе, либо изменения состояния или работы системы. Примером активной угрозы служит умышленное изменение таблиц маршрутизации системы неполномочным пользователем.

А.2.5 Некоторые конкретные виды вторжений

Ниже кратко рассмотрены некоторые из вторжений, специально касающихся функциональной среды передачи/обработки данных. В последующих разделах встречаются термины "полномочный" и "неполномочный". "Полномочие" означает "предоставление прав". Такое определение подразумевает два аспекта: рассматриваемые права являются правами на выполнение некоторой активности (такой как доступ к данным); и эти права предоставлены некоторому логическому объекту, агенту или процессу. Таким образом, полномочное поведение является рабочей характеристикой тех активностей, для выполнения которых предоставляются (и не аннулируются) права. Более подробное описание концепции полномочия приведено в А.3.3.1.

Маскирование имеет место, когда какой-либо логический объект претендует на то, чтобы выглядеть подобно другому логическому объекту. Маскирование обычно используется совместно с некоторыми другими формами активных вторжений, особенно с воспроизведением и модификацией сообщений. Например, после того, как имела место действительная последовательность аутентификации, могут быть перехвачены и воспроизведены другие последовательности аутентификации. Полномочный логический объект, обладающий небольшим числом привилегий, может использовать маскирование для получения дополнительных привилегий путем исполнения роли логического объекта, имеющего такие привилегии.

Воспроизведение происходит, когда сообщение или часть сообщения повторяется с целью получения неполномочного результата. Например, действительное сообщение, содержащее информацию аутентификации, может быть воспроизведено другим логическим объектом для того, чтобы заявить о своей подлинности (как чего-то такого, чего не существует).

А.2.5.3 Модификация сообщений

Модификация сообщений происходит, когда происходит необнаруживаемое изменение содержимого передачи, и приводит к некоторому неполномочному результату, как, например, в случае, когда сообщение "Разрешить 'Джону Смиту' считать секретный файл 'счетные данные' " заменяется на сообщение "Разрешить 'Фреду Брауну' считать секретный файл 'счетные данные' ".

А.2.5.4 Отклонение услуги

Отклонение услуги происходит, когда логический объект неспособен выполнять свойственные ему функции или он действует таким образом, что препятствует другим логическим объектам выполнять свойственные им функции. Это вторжение может быть всеобщим, если логический объект подавляет передачу всех сообщений, или оно может иметь конкретную цель, если логический объект подавляет передачу всех сообщений, направляемых в сторону конкретного получателя, в качестве которых может быть услуга проверки защиты. Это вторжение может включать подавление трафика, как описано в данном примере, или может генерировать дополнительный трафик. Возможна также генерация сообщений, предназначенных для нарушения работы сети, особенно если сеть имеет ретрансляционные логические объекты, которые принимают решения о маршрутизации на основе отчетов о состоянии, полученных от других ретрансляционных логических объектов.

А.2.5.5 Внутренние вторжения

Внутренние вторжения происходят, когда уполномоченные пользователи системы ведут себя непреднамеренным или неполномочным образом. Наиболее широко распространенное нарушение работы вычислительной машины подразумевает внутренние вторжения, которые компрометируют защиту системы. К используемым методам защиты от внутренних вторжений относятся следующие:

a) тщательная проверка персонала;

b) тщательное исследование аппаратного и программного обеспечения, стратегии защиты и конфигураций системы с такой степенью гарантии, которая обеспечила бы их правильную работу (так называемая доверительная функциональность);

c) данные отслеживания, предназначенные для повышения вероятности обнаружения подобных вторжений.

А. 2.5.6 Внешние вторжения

Внешние вторжения могут использовать следующие методы:

a) подсоединение к линии (активное и пассивное);

b) перехват излучений;

c) маскирование под полномочных пользователей системы или под ее компоненты;

d) обход механизмов аутентификации или управления доступом.

Когда логический объект системы изменяется таким образом, что он разрешает нарушителю произвести неполномочное воздействие либо на команду, либо на заранее определенное событие, либо на последовательность таких событий, результат этого действия рассматривается как вторжение типа "лазейка". Например, аутентификация пароля может быть изменена таким образом, чтобы дополнительно к обычным действиям проверялась правильность пароля нарушителя.

При введении в систему вторжение типа "троянский конь" в дополнение к его полномочным функциям получает некоторые неполномочные функции. Действие ретранслятора, который копирует сообщения также и в неполномочные каналы, представляет собой вторжение типа "троянский конь".

А.2.6 Оценка угроз, степени риска и мер противодействия

Средства защиты обычно повышают стоимость системы и могут усложнить ее использование. Поэтому перед разработкой системы защиты необходимо определить конкретные угрозы, от которых требуется защита. Такая спецификация известна как оценка угрозы. Система уязвима по многим параметрам, однако только некоторые из них используются, поскольку нарушитель обладает ограниченными возможностями или потому что достигаемые результаты не оправдывают его усилий и риска быть обнаруженным. Хотя детализация целей оценки угрозы не входит в предмет рассмотрения данного приложения, в общих чертах такие оценки включают в себя:

a) идентификацию уязвимых мест системы;

b) анализ вероятности угроз, направленных на использование таких уязвимых мест;

c) оценку последствия успешного выполнения угрозы;

d) оценку стоимости каждого вторжения;

e) анализ стоимости возможных мер противодействия;

f) выбор удовлетворительных механизмов защиты (возможно путем использования стоимостного анализа получаемых выгод).

Нетехнические средства, такие как страхование, могут служить экономичными альтернативами технических средств защиты. Совершенная техническая защита, так же как и совершенная физическая защита невозможны. Поэтому задача состоит в достижении того, чтобы стоимость вторжения была достаточно высокой для уменьшения степени риска до приемлемых уровней.

А.3 Стратегия защиты

В данном разделе рассматривается стратегия защиты, в том числе необходимость в подходящем определении стратегии защиты, ее роль, методы использования стратегии и ее уточнение применительно к конкретным ситуациям. Эти принципы затем могут быть применены к системам передачи данных.

А.3.1 Необходимость и назначение стратегии защиты

Вся область защиты сложна и труднореализуема. Любой в разумных пределах полный анализ приведет к обескураживающему множеству подробностей. Приемлемая стратегия защиты должна сконцентрировать внимание на тех аспектах ситуации, которые должны учитываться при рассмотрении на высоком уровне полномочий. По существу, стратегия защиты устанавливает в общих понятиях, что допустимо и что недопустимо в области защиты в процессе основных операций рассматриваемой системы. Стратегия обычно не является конкретной, она исходит из того, что является делом первостепенной важности, не определяя в точности, каким образом можно достичь желаемых результатов. Стратегия защиты устанавливает наивысший уровень спецификации защиты.

А.3.2 Применения определения стратегии. Процесс уточнения

Поскольку стратегия имеет достаточно общий характер, то вначале не совсем ясно, как можно совместить ее с конкретным применением. Часто наилучший способ достижения этого состоит в том, чтобы сориентировать стратегию на успешное проведение процесса уточнения путем добавления на каждой стадии все больших подробностей конкретного применения. Для выяснения необходимых деталей требуется подробное изучение области применения в свете общей стратегии. Такое рассмотрение должно определить проблемы, возникающие из попыток наложения условий на стратегию в данном применении. Процесс уточнения приведет к новой установке общей стратегии в очень точных понятиях, непосредственно вытекающих из данного применения. Эта заново установленная стратегия облегчает определение деталей реализации.

А.3.3 Компоненты стратегии защиты

Имеются два аспекта, относящихся к существующим стратегиям защиты. Оба они зависят от принципа полномочного поведения.

Все рассмотренные выше виды угроз охватывают понятия полномочного и неполномочного поведения. Определение сущности полномочия отражено в стратегии защиты. Общая стратегия защиты может устанавливать: "информация не может быть предоставлена, быть доступной либо допускать вмешательство и не может быть ресурсом, используемым теми, кто не имеет соответствующих полномочий". Характер полномочий как раз и определяет отличия различных стратегий. Основываясь на соответствующем характере полномочий, все стратегии могут быть подразделены на два отдельных вида: стратегии, основанные на правилах, и стратегии, основанные на идентификации. Первые используют правила, основанные на небольшом числе общих атрибутов или классов чувствительности, которые имеют универсальное применение. Вторые охватывают критерий полномочий, основанный на конкретных индивидуальных атрибутах. Некоторые атрибуты предполагаются постоянно связанными с логическим объектом их применения, другие могут временно присваиваться логическому объекту (такие как функциональные возможности) и передаваться другим логическим объектам. Можно также различать административно назначаемые и динамически выбираемые средства полномочий. Стратегия защиты должна определять те элементы системной защиты, которые всегда применимы и остаются в силе (например, компоненты стратегии, основанные на правилах и идентификации при их наличии) и те из них, которые пользователь может выбрать для использования по своему усмотрению.

А.3.3.2 Стратегия защиты, основанная на идентификации

Аспекты стратегии защиты, основанных на идентификации, частично соответствуют принципам защиты, известным как "необходимость опознавания". Цель ее состоит в фильтрации доступа к данным или ресурсам. Имеются два основных фундаментальных способа реализации стратегий, основанных на идентификации, в зависимости от того, сохраняется ли информация о правах на доступ получателем или она является частью данных, которые должны быть доступными. Первая служит примером принципов привилегий или функциональных возможностей, предоставляемых пользователям и используемых процессами по их поручению. Примерами последней служат списки управления доступом (СУД). Б обоих случаях размер области данных (от полного файла до элемента данных), который может быть поименован в функциональной возможности или который переносит свой собственный СУД, может изменяться в широких пределах.

А.3.3.3 Стратегия защиты, основанная на правилах

Полномочия в стратегии защиты, основанной на правилах, обычно основаны на чувствительности. В закрытой системе данные или ресурсы должны быть помечены метками защиты. Процессам, действующим по инициативе персонала, может быть присвоена метка защиты, соответствующая их инициатору.

А.3.4 Стратегия, взаимосвязи и метки защиты

Концепция присвоения меток выполняет важную роль в среде обмена данными. Метки, переносящие атрибуты, выполняют различные функции. Имеются элементы данных, которые перемещаются во время обмена данными; существуют процессы и логические объекты, которые инициируют обмен данными, а также такие, которые выдают ответы; существуют каналы и другие ресурсы самой системы, используемые во время обмена данными. Всем им может быть тем или иным способом присвоена метка с соответствующими атрибутами. Стратегии защиты должны указывать, как атрибуты каждой из них могут использоваться для обеспечения требуемой защиты. Для установления надлежащей значимости защиты конкретных помеченных атрибутов может потребоваться согласование. Когда метки защиты присваиваются как доступным процессам, так и доступным данным, должна быть соответствующим образом помечена дополнительная информация, необходимая для обеспечения управления доступом на основе идентификации. Если стратегия защиты основана на идентификации пользователя, имеющего доступ к данным непосредственно или с помощью процесса, то метки защиты должны содержать информацию об идентификации пользователя. Правила присвоения конкретных меток должны быть представлены в стратегии защиты в базе административной информации защиты (БАУИЗ) и/или согласованы, при необходимости, с оконечными системами. Метка может быть добавлена с помощью атрибутов, которые квалифицируют соответствующую чувствительность для определения средств обработки и распределения, ограничения таймирования и местоположения и четкого определения требований, специфичных для данной оконечной системы.

А.3.4.1 Метки процесса

При аутентификации полная идентификация тех процессов или логических объектов, которые инициируют сеанс обмена данными или отвечают на него, в совокупности со всеми соответствующими атрибутами имеет обычно фундаментальную важность. Поэтому БАУИЗ должны содержать достаточную информацию о тех атрибутах, которые важны для любой административно назначаемой стратегии.

А.3.4.2 Метки области данных

По мере перемещения областей данных в процессе сеансов обмена данными каждая из них должна быть тесно связана со своей меткой. (Эта связь является существенной, и в некоторых случаях применения стратегий, основанных на правилах, существует требование, чтобы метка составляла специальную часть области данных перед тем, как она будет предъявлена прикладному применению.) Средства для сохранения целостности области данных должны также поддерживать точность и сцепление меток. Эти атрибуты могут быть использованы функциями управления маршрутизацией на уровне звена данных базовой эталонной модели ВОС.

А.4 Механизмы защиты

Стратегия защиты может быть реализована путем использования отдельного или сочетания различных механизмов в зависимости от целей защиты и применяемых механизмов. В общем случае такой механизм должен принадлежать к одному из трех (перекрывающихся) классов:

Механизмы защиты, соответствующие среде обмена данными, рассматриваются ниже.

А.4.1 Методы криптографирования и шифрование

Криптография основана на множестве средств и механизмов защиты. Функции криптографирования могут быть использованы как часть шифрования, дешифрования, целостности данных, обменов аутентификацией, хранения и проверки пароля и др. для обеспечения конфиденциальности, целостности и/или аутентичности. Шифрование, используемое для обеспечения конфиденциальности, преобразует чувствительные данные (т.е. данные, подлежащие защите) для получения менее чувствительных форм. При использовании в целях обеспечения целостности или аутентичности криптографические методы применяются для машинного выполнения второстепенных функций.

Шифрование первоначально выполняется над открытым текстом для получения шифротекста. Результатом дешифрования является либо открытый текст, либо шифротекст с некоторым закрытием. При машинном выполнении легко использовать открытый текст для его общей обработки; его семантическое содержимое доступно. За исключением специальных методов (например, первичного дешифрования или точного согласования) при машинном выполнении нелегко обработать шифротекст, так как его семантическое содержимое закрыто. Шифрование иногда умышленно делают необратимым (например, путем усечения или потери данных), когда даже нежелательно получить исходный открытый текст, например, пароли.

Криптографические функции используют криптопеременные и оперируют с полями, блоками данных и/или потоками блоков данных. К двум таким криптопеременным относятся ключ, который управляет конкретными преобразованиями, и переменная инициализации, которая необходима в некоторых криптографических протоколах для сохранения явной произвольности шифротекста. Ключ должен обычно оставаться конфиденциальным, и как криптографическая функция, так и переменная инициализации могут увеличить задержку и снизить пропускную способность. Это усложняет внесение "прозрачных" и "обеспечивающих свободный доступ" криптографических дополнений к существующим системам.

Криптографические переменные могут быть симметричными или асимметричными, охватывая как шифрование, так и дешифрование. Ключи, используемые в асимметричных алгоритмах, являются математически относительными; один ключ не может быть вычислен из остальных. Эти алгоритмы иногда называют алгоритмами "ключа общего пользования", поскольку один ключ может быть сделан ключом общего пользования, а другой — закрытым.

Шифротекст может быть подвергнут криптоанализу, когда при машинном выполнении легко восстановить шифротекст без сведений о ключе. Это может иметь место при использовании слабой или недействительной криптографической функции. Перехваты и анализ трафика могут привести к вторжениям в криптосистему, включая вставку, удаление и изменение поля/сообщения, искажение правильного шифротекста и маскирование. Поэтому криптографические протоколы проектируются с целью сопротивления вторжениям, а также иногда — анализу трафика. Специальные меры противодействия анализу трафика, "конфиденциальность потока трафика" помогают закрыть наличие или отсутствие данных и их характеристик. Если шифротекст ретранслируется в ретрансляторах и шлюзах, то адрес должен находиться в открытом виде. Если данные шифруются только в каждом звене данных, а дешифруются (и таким образом уязвимы) в ретрансляторе и шлюзе, архитектура определяет использование "позвенного шифрования". Если в ретрансляторе или шлюзе в открытом виде находится только адрес (и аналогичные управляющие данные), архитектура определяет использование "межоконечного шифрования". Межоконсчное шифрование является более желательным с точки зрения защиты, но архитектурно значительно более сложным, особенно если обеспечивается внутриполосное распределение электронных ключей (функция административного управления ключом). Позвенное и межоконечное шифрования могут использоваться в совокупности для достижения нескольких целей защиты. Целостность данных часто обеспечивается путем подсчета криптографического контрольного значения. Контрольное значение может быть получено за один или несколько шагов и является математической функцией криптопеременных и данных. Эти контрольные значения связаны с данными, подлежащими защите. Криптографические контрольные значения иногда называются кодами обнаружения манипуляции.

Криптографические средства могут обеспечить или помочь обеспечить защиту от:

a) наблюдения потока сообщения и/или его модификации;

b) анализа трафика;

с) неполномочного соединения;

f) модификации сообщений.

А.4.2 Аспекты административного управления ключами

Административное управление ключами обеспечивается путем использования криптографических алгоритмов. Оно охватывает генерацию, распределение и управление криптографическими ключами. Выбор метода административного управления ключами основан на личностной оценке среды, в которой он должен использоваться. К вопросам, касающимся этой среды, относятся угрозы, от которых необходима защита (как внутренняя по отношению к организации, так и внешняя), используемые методы, архитектурная структура и размещение обеспечиваемых криптографических услуг, а также физическая структура и размещение поставщиков криптографических услуг.

К вопросам административного управления ключами относятся следующие:

a) использование понятия "время существования", основанного на времени, использовании или другом критерии, который явно или неявно определен для каждого ключа;

b) надлежащая идентификация ключей в соответствии с их функцией таким образом, чтобы, например, их использование можно было зарезервировать только для этих функций. Ключи, предназначенные для услуги конфиденциальности, не должны применяться для услуги целостности и наоборот;

c) вопросы, относящиеся к функциям не — ВОС, таким как физическое распределение и архивация ключей.

К вопросам административного управления ключами для симметричных алгоритмов ключа относятся:

a) использование услуги конфиденциальности в протоколе административного управления ключами для передачи ключей;

b) использование иерархии ключей. Должны допускаться различные ситуации, например:

1) "плоскостные" иерархии ключей, использующие только ключи шифрования данных, явно или неявно выбранные из набора с помощью идентификатора или индекса ключа;

2) многоуровневые иерархии ключей;

3) ключи шифрования-ключа никогда не следует использовать для защиты данных и ключи шифрования данных никогда не следует использовать для защиты ключей шифрования-ключа;

c) такое разделение ответственностей, при котором никто из обслуживающего персонала не обладает копией важного ключа.

К вопросам административного управления ключами для асимметричных алгоритмов ключа относятся:

a) использование услуги конфиденциальности в протоколе административного управления ключами для передачи закрытых ключей;

b) использование услуг целостности или "безотказность" с подтверждением отправителя в протоколе административного управления ключами для передачи ключей общего пользования. Эти услуги могут быть обеспечены путем использования симметричных и/или асимметричных криптографических алгоритмов.

А.4.3 Механизмы цифровой подписи

Понятие цифровой подписи используется для указания конкретного метода, который может быть применен для обеспечения таких услуг защиты, как "безотказность" и аутентификации. Механизмы цифровой подписи требуют использования асимметричных криптографических алгоритмов. Важной характеристикой механизма цифровой подписи является то, что подписанный блок данных не может быть создан без использования личного ключа. Это означает, что:

a) подписанный блок данных не может быть создан каким бы то ни было лицом, за исключением лица, обладающего личным ключом;

b) получатель не может создать подписанный блок данных.

Из того следует, что использование доступной информации общего пользования возможно только для идентификации подписчика блока данных единственно в качестве лица, обладающего личным ключом. В случае возникновения последующего конфликта между участниками последнее означает возможность предоставить проверку идентификации подписчика блока данных надежной третьей стороне, которая привлекается при анализе аутентичности подписанного блока данных. Этот тип цифровой подписи называется схемой прямой подписи (см. рисунок 1). В других случаях может потребоваться дополнительное свойство (с):

c) отправитель не может отклонить передачу подписанного блока данных.

Рисунок 1 — Схема прямой подписи

ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации

Рисунок 1 — Схема прямой подписи

Надежная третья сторона (арбитр) обеспечивает получателю в этом случае источник и целостность информации. Этот тип цифровой подписи иногда называют схемой арбитражной подписи (см. рисунок 2).

Рисунок 2 — Схема арбитражной подписи

ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации

Рисунок 2 — Схема арбитражной подписи

Примечание — Отправитель может потребовать, чтобы получатель не смог позднее отклонить прием подписанного блока данных. Это может быть выполнено с помощью услуги "безотказность" с подтверждением доставки соответствующей комбинацией цифровой подписи, целостности данных и механизмов нотаризации.

А.4.4 Механизмы управления доступом

К механизмам управления доступом относятся те, которые используются для задействования стратегии ограниченного доступа к ресурсам только со стороны полномочных пользователей. К таким методам относятся использование списков или матриц управления доступом (которые обычно содержат идентификаторы конкретных управляемых объектов и полномочных пользователей, например, персонала или процессов), паролей и функциональных возможностей, меток или маркеров, обладание которыми может быть использовано для указания права на доступ. При использовании функциональных возможностей они должны быть сохранены в неизменном виде и переданы достоверно.

А.4.5 Механизмы целостности данных

Существует два типа механизмов целостности данных: одни используются для защиты целостности отдельного блока данных, а другие — для защиты целостности как отдельного блока данных, так и последовательности полного потока блоков данных по соединению.

А.4.5.1 Обнаружение модификации потока сообщений

Методы обнаружения разрушения информации, обычно связанные с обнаружением ошибок битов, блоков и последовательностей, вносимых каналами связи и сетями, могут быть использованы также для обнаружения модификации потока сообщений. Однако, если протокольные заголовки и окончания не защищены механизмами целостности, нарушитель информации может успешно обойти такой контроль. Таким образом, успешное обнаружение модификации потока сообщений может быть достигнуто только путем использования средств обнаружения разрушений в сочетании с последующей информацией. Это может не предотвратить модификацию потока сообщений, но обеспечит уведомление о вторжениях.

А.4.6 Механизмы обмена информацией аутентификации

А.4.6.1 Выбор механизма

Существует множество вариантов и комбинаций механизмов обмена информацией аутентификации, соответствующих различным ситуациям. Например:

a) если равноправные логические объекты и средства обмена данными достоверны, идентификация равноправного логического объекта может быть подтверждена паролем. Пароль защищает от ошибки, но не гарантирует от злонамеренных нарушений (особенно от воспроизведения информации). Взаимная аутентификация может быть осуществлена путем использования в каждом направлении различных паролей;

b) если каждый логический объект уверен в соответствующем равноправном логическом объекте, но не уверен в средствах обмена данными, защита от активных вторжений может быть обеспечена путем комбинаций паролей и шифрования или путем криптографических методов. Защита от вторжения воспроизведения информации требует двунаправленного квитирования (с параметрами защиты) или установки временных отметок (с достоверными счетчиками). Взаимная аутентификация с защитой от воспроизведения информации может быть достигнута путем использования трехнаправленного квитирования;

c) если логические объекты не уверены (или чувствуют, что уверенность в дальнейшем исчезнет) в соответствующих равноправных логических объектах или в средствах обмена данными, можно использовать услуги "безотказность". Услуга "безотказность" может быть реализована путем использования цифровой подписи и/или механизмов нотаризации. Эти механизмы могут использоваться в сочетании с механизмами, описанными выше в b).

А.4.7 Механизмы заполнения трафика

Путем генерации ложного трафика и протокольных блоков данных заполнителей постоянной длины можно обеспечить ограниченную защиту от анализа трафика. Для успешного выполнения уровень ложного трафика должен быть приближен к наивысшему ожидаемому уровню реального трафика. Кроме того, содержимое протокольных блоков данных должно быть зашифровано или замаскировано таким образом, чтобы ложный трафик нельзя было опознать и отличить от реального трафика.

А.4.8 Механизм управления маршрутизацией

Спецификация запретов на использование маршрутов для передачи данных (включая спецификацию полного маршрута) может применяться для обеспечения того, чтобы данные передавались только по маршрутам, имеющим физическую защиту, или для обеспечения передачи чувствительной информации, только по маршрутам с соответствующей степенью защиты.

А.4.9 Механизм нотаризации

Механизм нотаризации основан на концепции доверенной третьей стороны (нотариуса), удостоверяющей определенные свойства информации, которой обмениваются два логических объекта, например такие, как ее отправитель, ее целостность или время ее передачи или приема.

А.4.10 Физическая или персональная защита

Для обеспечения полной защиты всегда будут необходимы средства физической защиты. Физическая защита обходится дорого, и необходимость в ней часто пытаются минимизировать путем использования других (более дешевых) средств. Вопросы физической и персональной защиты не входят в область распространения ВОС, хотя все системы должны в конечном счете полагаться на некоторые формы физической защиты и на надежность обслуживающего персонала системы. Должны быть определены операционные процедуры для обеспечения надлежащей работы и определения ответственности персонала.

А.4.11 Надежное аппаратное/программное обеспечение

К методам, используемым для получения уверенности в правильном функционировании логического объекта, относятся методы формальных проверок, верификации и проверки корректности, обнаружения и регистрации обнаруженных попыток вторжений, а также построения логического объекта надежным персоналом в защищенной функциональной среде. Необходимо также соблюдать предосторожности от неслучайной или сознательной модификации логического объекта, которая компрометирует защиту в течение своего рабочего срока службы, например, в процессе эксплуатации или расширения. Некоторые логические объекты в системе должны также быть надежными для правильного функционирования при необходимости защиты. Методы установления доверительности не входят в область распространения ВОС.

ПРИЛОЖЕНИЕ В (справочное). Обоснование размещения услуг и механизмов защиты информации в разделе 7

B.1 Общие положения

Данное приложение содержит некоторые обоснования для обеспечения идентифицируемых услуг защиты информации в рамках различных уровней, рассмотренных в разделе 7. Принципы уровневой организации защиты, указанные в 6.1.1 настоящего стандарта, управляются этим процессом выбора.

Конкретная услуга защиты обеспечивается несколькими уровнями, если ее воздействие на общую защиту обмена данными может считаться различным (например, конфиденциальность соединения на уровнях от 1 до 4). Тем не менее, учитывая существующие функциональные возможности обмена данными BOС (например, многозвенные процедуры, функции мультиплексирования, различные методы расширения услуг в режиме без установления соединения до услуг в режиме с установлением соединения) и для обеспечения работоспособности этих механизмов передачи может оказаться необходимым допустить обеспечение конкретной услуги на другом уровне, хотя ее воздействие на защиту не может считаться различным.

В.2 Аутентификация равноправного логического объекта

Уровни 1 и 2. Отсутствует, считается, что аутентификация равноправного логического объекта нецелесообразна на этих уровнях.

Уровень 3. Используется по отдельным подсетям и для маршрутизации и/или по внутренней сети.

Уровень 4. Используется, аутентификация от одной оконечной системы до другой на уровне 4 может служить для взаимной аутентификации двух или более логических объектов сеансового уровня до установления соединения и во время существования этого соединения.

Уровень 5. Отсутствует, нет преимуществ относительно обеспечения этой услуги на уровне 4 и/или вышерасположенных уровнях.

Уровень 6. Отсутствует, однако механизмы шифрования могут поддерживать эту услугу на прикладном уровне.

Уровень 7. Используется, аутентификация равноправных логических объектов должна обеспечиваться прикладным уровнем.

В.3 Аутентификация отправителя данных

Уровни 1 и 2. Отсутствует, считается, что аутентификация отправителя данных нецелесообразна на этих уровнях.

Уровни 3 и 4. Аутентификация отправителя данных может обеспечиваться как межоконечная с целью ретрансляции и маршрутизации на уровнях 3 и/или 4 следующим образом:

a) обеспечение аутентификации равноправного логического объекта во время установления соединения в сочетании с непрерывной аутентификацией на основе шифрования во время существования соединения фактически обеспечивает услугу аутентификации отправителя данных;

b) даже если а) не обеспечивается, аутентификация отправителя данных на основе шифрования может обеспечиваться с очень небольшими дополнительными затратами со стороны механизмов целостности данных, уже размещенных на этих уровнях.

Уровень 5. Отсутствует, нет преимуществ относительно обеспечением этой услуги на уровнях от 4 до 7.

Уровень 6. Отсутствует, однако механизмы шифрования могут поддерживать эту услугу на прикладном уровне.

Уровень 7. Используется, возможна в сочетании с механизмами на уровне представления данных.

В.4 Управление доступом

Уровни 1 и 2. Механизмы управления доступом не могут обеспечиваться на этих уровнях в системе, соответствующей всем протоколам ВОС, поскольку не существует оконечных средств, доступных такому механизму.

Уровень 3. Механизмы управления доступом могут применяться к протоколам, выполняющим роль доступа к подсети по требованиям конкретной подсети. При выполнении протоколами роли ретрансляции и маршрутизации механизмы доступа на сетевом уровне могут использоваться как для управления доступом к подсетям с помощью логических объектов ретрансляции, так и для управления доступом к оконечным системам. Очевидно, что эти градации доступов являются достаточно грубыми, различаясь только в логических объектах сетевого уровня.

Установление сетевого соединения может часто приводить к затратам администрации подсети. Минимизация стоимости может быть обеспечена путем контроля доступа и выбора реверсивной тарификации относительно конкретных параметров другой сети или подсети.

Уровень 4. Используется, механизмы управления доступом могут быть реализованы на основе межоконечных соединений транспортного уровня.

Уровень 5. Отсутствует, нет преимуществ относительно обеспечения этой услуги на уровнях от 4 до 7.

Уровень 6. Отсутствует, эта услуга не свойственна уровню 6.

Уровень 7. Используется, прикладные протоколы и/или прикладные процессы могут обеспечивать средства управления доступом, ориентированные на прикладное применение.

В.5 Конфиденциальность всех (N)-данных пользователя в (N)-соединении

Уровень 1. Используется, должен обеспечиваться, поскольку электрическое введение прозрачных пар устройств преобразования может обеспечить полную конфиденциальность по отношению к физическому соединению.

Уровень 2. Используется, но не обеспечивает дополнительных преимуществ защиты по сравнению с конфиденциальностью на уровнях с 1 до 3.

Уровень 3. Используется в протоколах, выполняющих роль доступа к подсети по отдельным подсетям и роль ретрансляции и маршрутизации по внутренней сети.

Уровень 4. Используется, поскольку отдельное соединение транспортного уровня предоставляет межоконечный механизм транспортного уровня и может обеспечивать изоляцию соединений сеансового уровня.

Уровень 5. Отсутствует, поскольку не обеспечивает дополнительных преимуществ по сравнению с конфиденциальностью на уровнях 3, 4 и 7. Представляется нецелесообразным обеспечение этой услуги на данном уровне.

Уровень 6. Используется, поскольку механизмы шифрования обеспечивают чисто синтаксические преобразования.

Уровень 7. Используется в сочетаний с механизмами нижерасположенных уровней.

В.6 Конфиденциальность всех (N)-данных пользователя в отдельном (N)-СБД, передаваемом в режиме без установления соединения

Обоснование аналогично конфиденциальности всех (N)-данных пользователя за исключением уровня 1, где не существует услуги режима без установления соединения.

В.7 Конфиденциальность выборочных полей внутри (N)-данных пользователя некоторого СБД

Эта услуга конфиденциальности обеспечивается путем шифрования на уровне представления и привлекается механизмами прикладного уровня в соответствии с семантиками данных.

В.8 Конфиденциальность потока трафика

Конфиденциальность полного потока трафика может быть достигнута только на уровне 1. Она может быть обеспечена путем физического введения в физический маршрут передачи пары устройств шифрования. Предполагается, что маршрут передачи должен быть дуплексным и синхронным, так что введение этих устройств будет воспроизводить все передачи (и даже их наличие) при нераспознаваемой физической среде.

На уровнях выше физического полная защита потока трафика невозможна. Некоторые из ее действий могут быть частично выполнены путем использования услуги конфиденциальности полного СБД на одном уровне и введения фиктивного трафика на смежном верхнем уровне. Такой механизм является дорогостоящим и потенциально предполагает большие объемы средств связи и коммутации.

Если конфиденциальность потока трафика обеспечивается на уровне 3, должны использоваться заполнение трафика и/или управление маршрутизации. Управление маршрутизацией может обеспечить ограниченную конфиденциальность потока трафика путем передачи сообщений маршрутизации по незащищенным звеньям данных или подсетям. Однако введение в состав уровня 3 функции заполнения трафика позволяет достичь более эффективного использования сети, например, путем предотвращения необязательных вставок и перегрузок сети.

Ограниченная конфиденциальность потока трафика может быть обеспечена на прикладном уровне путем генерации фиктивного трафика в сочетании с конфиденциальностью, предназначенной для предотвращения идентификации фиктивного трафика.

В.9 Целостность всех (N)-данных пользователя в (N)-соединении (с восстановлением при ошибках)

Уровни 1 и 2. Неспособны обеспечивать эту услугу. Уровень 1 не имеет механизмов обнаружения и восстановления, а механизмы уровня 2 функционируют только на двухпунктовой, а не межоконечной основе, в связи с чем данная услуга здесь неприемлема.

Уровень 3. Отсутствует, поскольку восстановление при ошибках не для всех доступно.

Уровень 4. Используется, поскольку это обеспечивает действительное межоконечное соединение транспортного уровня.

Уровень 5. Отсутствует, поскольку восстановление при ошибках не является функцией уровня 5.

Уровень 6. Отсутствует, но механизмы шифрования могут обеспечивать эту услугу на прикладном уровне.

Уровень 7. Используется в сочетании с механизмами уровня представления.

В.10 Целостность всех (N)-данных пользователя в (N)-соединении (без восстановления при ошибках)

Уровни 1 и 2. Неспособны обеспечивать эту услугу. Уровень 1 не имеет механизмов обнаружения и восстановления, а механизмы уровня 2 функционируют только на двухпунктовой, а не межоконечной основе, в связи с чем данная услуга здесь неприемлема.

Уровень 3. Используется для обеспечения доступа к подсети по отдельным подсетям, а также для функций ретрансляции и маршрутизации по внутренней сети.

Уровень 4. Используется для тех случаев использования, когда допустимо прекращать обмен данными после обнаружения активного вторжения.

Уровень 5. Отсутствует, поскольку не обеспечивает дополнительных преимуществ по сравнению с целостностью данных на уровнях 3, 4 и 7.

Уровень 6. Отсутствует, однако механизмы шифрования могут обеспечивать эту услугу на прикладном уровне.

Уровень 7. Используется в сочетании с механизмами уровня представления.

В.11 Целостность выбранных полей внутри (N)-данных пользователя (N)-СБД, передаваемого пo (N)-coединению (без восстановления)

Целостность выбранных полей может быть обеспечена механизмами шифрования уровня представления в сочетании с механизмами вызова и проверки прикладного уровня.

В.12 Целостность всех (N)-данных пользователя в отдельном (N)-СБД, передаваемом в режиме без установления соединения

Для минимизации дублирования функций целостность передач в режиме без установления соединения должна обеспечиваться только на тех уровнях, что и целостность без восстановления, т.е. на сетевом, транспортном и прикладном уровнях. Такие механизмы целостности могут иметь только очень ограниченную эффективность и они должны использоваться.

В.13 Целостность выбранных полей в отдельном (N)-СБД, передаваемом в режиме без установления соединения

Целостность выбранных полей может быть обеспечена механизмами шифрования на уровне представления в сочетании с механизмами вызова и проверки на прикладном уровне.

В.14 Услуга "безотказность"

Услуги "безотказность" отправителя и получателя могут быть обеспечены механизмом нотаризации, который может использовать ретрансляцию на уровне 7.

Использование механизма цифровой подписи для услуги "безотказность" требует тесной взаимосвязи между уровнями 6 и 7.

ПРИЛОЖЕНИЕ С (справочное). Выбор позиций шифрования для конкретных применений

C.1 Большинство применений не требуют использования шифрования на нескольких уровнях. Выбор уровня зависит от некоторых основных аспектов следующим образом:

а) при необходимости полной конфиденциальности потока трафика должно быть выбрано шифрование на физическом уровне или защита передачи (например, подходящие методы расширения спектра). Адекватная физическая защита и доверительная маршрутизация, а также аналогичная функциональность ретрансляторов могут удовлетворить все требования конфиденциальности;

b) при необходимости сильной градации защиты (то есть, возможно, отдельный ключ для каждой прикладной ассоциации) и услуги "безотказность" или избирательной защиты полей должно быть выбрано шифрование на уровне представления. Избирательная защита полей может оказаться важной, поскольку алгоритмы шифрования потребляют большие мощности обработки. Шифрование на уровне представления может обеспечить целостность без восстановления, услугу "безотказность" и полную конфиденциальность;

c) при необходимости массовой защиты всех обменов данными между оконечными системами и/или внешних устройств шифрования (например, для обеспечения физической защиты алгоритма и ключей или защиты от сбоев программного обеспечения) должно быть выбрано шифрование на сетевом уровне. Это может обеспечить конфиденциальность и целостность без восстановления.

Примечание — Хотя процедуры восстановления не обеспечиваются на сетевом уровне, на транспортном уровне могут быть использованы обычные механизмы для восстановления от вторжений, обнаруженных сетевым уровнем;

d) при необходимости обеспечения целостности с восстановлением совместно с высокой градацией защиты должно быть выбрано шифрование на транспортном уровне. Это может обеспечить конфиденциальность и целостность с восстановлением или без него;

е) шифрование на уровне звена данных не рекомендуется для будущих разработок.

С.2 При рассмотрении двух или более из этих ключевых аспектов может потребоваться шифрование на нескольких уровнях.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *