###
  • Интернет
  • Программы
  • Игры
  • Проблемы
  • Windows
  • Социальные сети
  • Android
  • Ios

    • Угроза безопасности информации гост. Гост р - национальные стандарты российской федерации в области защиты информации

    02.07.2020 Программы и сервисы

    Международные стандарты

    • BS 7799-1:2005 - Британский стандарт BS 7799 первая часть. BS 7799 Part 1 - Code of Practice for Information Security Management (Практические правила управления информационной безопасностью) описывает 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определённых на основе лучших примеров мирового опыта (best practices) в данной области. Этот документ служит практическим руководством по созданию СУИБ
    • BS 7799-2:2005 - Британский стандарт BS 7799 вторая часть стандарта. BS 7799 Part 2 - Information Security management - specification for information security management systems (Спецификация системы управления информационной безопасностью) определяет спецификацию СУИБ. Вторая часть стандарта используется в качестве критериев при проведении официальной процедуры сертификации СУИБ организации.
    • BS 7799-3:2006 - Британский стандарт BS 7799 третья часть стандарта. Новый стандарт в области управления рисками информационной безопасности
    • ISO/IEC 17799:2005 - «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Международный стандарт, базирующийся на BS 7799-1:2005.
    • ISO/IEC 27000 - Словарь и определения.
    • ISO/IEC 27001 - «Информационные технологии - Методы обеспечения безопасности - Системы управления информационной безопасностью - Требования». Международный стандарт, базирующийся на BS 7799-2:2005.
    • ISO/IEC 27002 - Сейчас: ISO/IEC 17799:2005. «Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности». Дата выхода - 2007 год.
    • ISO/IEC 27005 - Сейчас: BS 7799-3:2006 - Руководство по менеджменту рисков ИБ.
    • German Information Security Agency. IT Baseline Protection Manual - Standard security safeguards (Руководство по базовому уровню защиты информационных технологий).

    Государственные (национальные) стандарты РФ

    • ГОСТ Р 50922-2006 - Защита информации. Основные термины и определения.
    • Р 50.1.053-2005 - Информационные технологии. Основные термины и определения в области технической защиты информации.
    • ГОСТ Р 51188-98 - Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
    • ГОСТ Р 51275-2006 - Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
    • ГОСТ Р ИСО/МЭК 15408-1-2012 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель.
    • ГОСТ Р ИСО/МЭК 15408-2-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности.
    • ГОСТ Р ИСО/МЭК 15408-3-2013 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности.
    • ГОСТ Р ИСО/МЭК 15408 - «Общие критерии оценки безопасности информационных технологий» - стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности - благодаря чему потребитель принимает решение о безопасности продуктов. Сфера приложения «Общих критериев» - защита информации от несанкционированного доступа, модификации или утечки, и другие способы защиты, реализуемые аппаратными и программными средствами.
    • ГОСТ Р ИСО/МЭК 17799 - «Информационные технологии. Практические правила управления информационной безопасностью». Прямое применение международного стандарта с дополнением - ISO/IEC 17799:2005.
    • ГОСТ Р ИСО/МЭК 27001 - «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта - ISO/IEC 27001:2005.
    • ГОСТ Р 51898-2002 - Аспекты безопасности. Правила включения в стандарты.

    Для создания эффективной системы защиты разработан ряд стандартов. Главная задача стандартов информационной безопасности - создать основу для взаимодействия между производителями, потребителями и экспертами по квалификации продуктов информационных технологий. Многие правительственные организации и частные компании приобретают только такие системы, которые удовлетворяют определенным наборам требований. Наиболее значимые стандарты информационной безопасности: критерии безопасности компьютерных систем Министерства обороны США, US TCSEC (US Trusted Computer Systems Evaluation Criteria , «Оранжевая книга»; европейский Стандарт European ITSEC (Information Technology Security Evaluation Criteria ).

    Британский институт стандартов (BSI ) при участии коммерческих организаций: Shell, National Westminster Bank, Midland Bank, Unilever, British Telecommunications, Marks & Spencer, Logica и др. разработал стандарт информационной безопасности. Стандарт был утвержден в 1998 г. и получил название «BS 7799 управление информационной безопасностью организации вне зависимости от сферы деятельности компании». Служба безопасности, информационный отдел, руководство компании должны работать согласно принятому регламенту. Британский стандарт BS 7799 поддерживается в 27 странах мира, в числе которых страны Британского Содружества, Швеция и Нидерланды. В конце 2000 г. международный институт стандартов ISO на базе британского BS 7799 разработал и выпустил международный стандарт менеджмента безопасности ISO/IEC 17799 .

    Группа государств, объединив свои усилия в рамках Международной организации по стандартизации (ISO) , разработала новый стандарт безопасности ISO 15408 , призванный отразить возросший уровень сложности технологий и растущую потребность в международной стандартизации. В его создании участвовали: Национальный институт стандартов и технологии и Агентство национальной безопасности (США), Учреждение безопасности коммуникаций (Канада), Агентство информационной безопасности (Германия), Агентство национальной безопасности коммуникаций (Голландия), органы исполнения Программы безопасности и сертификации Информационных Технологий (Англия), Центр обеспечения безопасности систем (Франция). После окончательного утверждения стандарта ему был присвоен номер ISO 15408.

    Стандарт пришел на смену старым методикам оценки. Он получил известность как Стандарт Common Criteria for Information Technology Security Evaluation (CCITSE – общие критерии оценки безопасности информационных технологий) и был утвержден в качестве международного в 1999 году. Страны, ратифицировавшие Common Criteria , рассчитывают, что использование этого стандарта приведет к повышению надежности продуктов, в которых применяются технологии защиты данных. Он поможет потребителям информационных технологий лучше ориентироваться при выборе программного обеспечения, и будет способствовать повышению уверенности пользователей в безопасности информационных продуктов.



    В соответствии с требованиями Common Criteria продукты определенного класса (например, операционные системы) оцениваются на соответствие ряду функциональных критериев и критериев надежности – «профилей защиты» (Protection Profiles ). Существуют различные определения профилей защиты в отношении операционных систем, брандмауэров, смарт-карт и прочих продуктов, которые должны соответствовать определенным требованиям в области безопасности. Например, профиль защиты систем с разграничением доступа (Controlled Access Protection Profile) действует в отношении операционных систем и должен заменить старый уровень защиты С2. Стандарт Common Criteria также устанавливает ряд гарантированных уровней соответствия Evaluation Assurance Levels (EAL) , используемых при оценке продуктов.

    Сертификация на более высокий уровень EAL означает более высокую степень уверенности в том, что система защиты продукта работает правильно и эффективно. Профили защиты для уровней EAL1-EAL4 являются общими для всех стран, поддерживающих стандарт Common Criteria . Для высших уровней EAL5-EAL7 профили защиты индивидуально разрабатываются каждой страной для учета национальных особенностей защиты государственных секретов. Поэтому EAL4 является высшим уровнем, которого могут достигнуть продукты, не создававшиеся изначально с учетом соответствия требованиям EAL5-EAL7 .

    Признание соответствия того или иного продукта стандарту Common Criteria происходит лишь после прохождения им весьма строгой и длительной процедуры проверки.

    Данный стандарт является гарантией качества: принимая решение о приобретении информационного продукта, пользователи могут оценить его на основе результатов строгого независимого тестирования, учитывающего весь комплекс критериев. Таким образом, стандарт Common Criteria способствует повышению требований к качеству продуктов и позволяет утверждать, что продукт обладает надежной защитой. Преимущества стандарта Common Criteria :

    Стандарт помогает пользователям объективно оценивать защищенность информационных продуктов;

    Пользователи могут применять четкие и универсальные критерии для оценки собственных потребностей и выбора необходимого уровня защиты;

    Пользователям становится проще определить, соответствует ли конкретный продукт их требованиям в области безопасности;

    Пользователи могут доверять оценкам, сделанным в ходе аттестации на соответствие стандарту, поскольку оценивание производится независимой тестирующей лабораторией; государственные структуры и крупные компании все чаще ориентируются на этот стандарт при принятии решений о покупке;

    Поскольку Common Criteria является международным стандартом, организации, использующие сертифицированные по этому стандарту продукты, будут удовлетворять требованиям безопасности, которые предъявляются к филиалам этой организации в каждой стране.

    Стандарт Common Criteria ISO 15408 является также государственным стандартом России. С 1 января 2004 года были введены в действие следующие государственные стандарты:

    ГОСТ Р ИСО/МЭК 15408-1-2002 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель;

    ГОСТ Р ИСО/МЭК 15408-2-2002 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2.Функциональные требования безопасности;

    ГОСТ Р ИСО/МЭК 15408-3-2002 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3.Требования доверия к безопасности.

    Главные преимущества стандартов - полнота требований к информационной безопасности, гибкость в применении и открытость для последующего развития с учетом новейших достижений науки и техники. Принятие новых стандартов и взаимное международное признание сертификатов стандарта Common Criteria позволяют:

    Пользователям сократить свои затраты на сертификацию продуктов;

    Сертифицирующим органам привлечь дополнительный поток заказов на сертификацию из-за рубежа;

    Производителям российских высокотехнологичных продуктов получить международные сертификаты в России;

    Среди различных стандартов по безопасности информационных технологий, существующих в нашей стране, следует выделить ряд документов, регламентирующих защиту взаимосвязи открытых систем; нормативных документов по средствам, системам и критериям оценки защищенности средств вычислительной техники и автоматизированных систем; документов, ориентированных преимущественно на защиту государственной тайны (табл. 6.1.)

    Таблица 6.1.

    Нормативные документы, регламентирующие оценку защищенности информационных технологий

    № п/п Номер документа Описание
    ГОСТ Р ИСО 7498-2-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации
    ГОСТ Р ИСО/МЭК 9594-8-98 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 8. Основы аутентификации
    ГОСТ Р ИСО/МЭК 9594-9-95 Информационная технология. Взаимосвязь открытых систем. Справочник. Часть 9. Дублирование
    - Руководящий документ Гостехкоммиссии «РД. СВТ. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации» (Гостехкомиссия России, 1997)
    ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования
    ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования
    ГОСТ Р 34.10-94 Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной подписи на базе асимметричного криптографического алгоритма
    ГОСТ Р 34.11-94 Информационная технология. Криптографическая защита информации. Функция хэширования

    Безопасность программных продуктов начинается с качественно написанного и прошедшего всестороннее тестирование кода. Затем используются технологии поиска, исправления и ликвидации найденных уязвимых мест в системе защиты. На последнем этапе производится проверка на соответствие общепризнанным стандартам.

    Пример. В октябре 2002 года корпорация Microsoft для платформы Microsoft Windows 2000 получила международный сертификат по «Общим критериям» для самого широкого среди сертифицированных операционных систем спектра реальных сценариев применения, определенных условиями стандарта Common Criteria . 12 февраля 2004 года представителями Государственной технической комиссии при Президенте Российской Федерации операционная система Microsoft Windows XP (Service Pack 1a) была сертифицирована на соответствие российским требованиям по безопасности информации.

    В данном разделе приводятся общие сведения и тексты национальных стандартов Российской Федерации в области защиты информации ГОСТ Р.

    Актуальный перечень современных ГОСТов, разработанных в последние годы и планируемых к разработке. Система сертификации средств защиты информации по требованиям безопасности информации № РОСС RU.0001.01БИ00 (ФСТЭК России). ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ПОРЯДОК СОЗДАНИЯ АВТОМАТИЗИРОВАННЫХ СИСТЕМ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ. Общие положения. Москва ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Дата введения 1996-01-01 Национальный стандарт Российской Федерации. Защита информации. Основные термины и определения. Protection of information. Basic terms and definitions. Дата введения 2008-02-01 ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. ЗАЩИТА ИНФОРМАЦИИ. СИСТЕМА СТАНДАРТОВ. ОСНОВНЫЕ ПОЛОЖЕНИЯ (SAFETY OF INFORMATION. SYSTEM OF STANDARDS. BASIC PRINCIPLES) ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ. Защита информации. ИСПЫТАНИЯ ПРОГРАММНЫХ СРЕДСТВ НА НАЛИЧИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ. Типовое руководство (Information security. Software testing for the existence of computer viruses. The sample manual). Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов Информационная технология. Методы и средства обеспечения безопасности. Руководство по разработке профилей защиты и заданий по безопасности Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 3. Особенности проведения испытаний при различных биометрических модальностях Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий ГОСТ Р ИСО/МЭК 15408-1-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель (Information technology. Security techniques. Evaluation criteria for IT security. Part 1. Introduction and general model) ГОСТ Р ИСО/МЭК 15408-2-2008 - Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 2. Security functional requirements) ГОСТ Р ИСО/МЭК 15408-3-2008 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности (Information technology. Security techniques. Evaluation criteria for IT security. Part 3. Security assurance requirements) ГОСТ Р 53109-2008 Система обеспечения информационной безопасности сети связи общего пользования. Паспорт организации связи по информационной безопасности. Information security of the public communications network providing system. Passport of the organization communications of information security. Дата введения в действие 30.09.2009. ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. Protection of information. Information security provision in organizations. Basic terms and definitions. Дата введения в действие 30.09.2009. ГОСТ Р 53112-2008 Защита информации. Комплексы для измерений параметров побочных электромагнитных излучений и наводок. Технические требования и методы испытаний. Information protection. Facilities for measuring side electromagnetic radiation and pickup parameters. Technical requirements and test methods. Дата введения в действие 30.09.2009. ГОСТ Р 53115-2008 Защита информации. Испытание технических средств обработки информации на соответствие требованиям защищенности от несанкционированного доступа. Методы и средства. Information protection. Conformance testing of technical information processing facilities to unauthorized access protection requirements. Methods and techniques. Дата введения в действие 30.09.2009. ГОСТ Р 53113.2-2009 Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 2. Рекомендации по организации защиты информации, информационных технологий и автоматизированных систем от атак с использованием скрытых каналов. Information technology. Protection of information technology and automated systems against security threats posed by use of covert channels. Part 2. Recommendations on protecting information, information technology and automated systems against covert channel attacks. Дата введения в действие 01.12.2009. ГОСТ Р ИСО/МЭК ТО 19791-2008 Информационная технология. Методы и средства обеспечения безопасности. Оценка безопасности автоматизированных систем. Information technology. Security techniques. Security assessment of operational systems. Дата введения в действие 30.09.2009. ГОСТ Р 53131-2008 Защита информации. Рекомендации по услугам восстановления после чрезвычайных ситуаций функций и механизмов безопасности информационных и телекоммуникационных технологий. Общие положения. Information protection. Guidelines for recovery services of information and communications technology security functions and mechanisms. General. Дата введения в действие 30.09.2009. ГОСТ Р 54581-2011 Информационная технология. Методы и средства обеспечения безопасности. Основы доверия к безопасности ИТ. Часть 1. Обзор и основы. Information technology. Security techniques. A framework for IT security assurance. Part 1. Overview and framework. Дата введения в действие 01.07.2012. ГОСТ Р ИСО/МЭК 27033-1-2011 Информационная технология. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции. Information technology. Security techniques. Network security. Part 1. Overview and concepts. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27006-2008 Информационная технология. Методы и средства обеспечения безопасности. Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности. Information technology. Security techniques. Requirements for bodies providing audit and certification of information security management systems. Дата введения в действие 30.09.2009. ГОСТ Р ИСО/МЭК 27004-2011 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Измерения. Information technology. Security techniques. Information security management. Measurement. Дата введения в действие 01.01.2012. ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. Information technology. Security techniques. Information security risk management. Дата введения в действие 01.12.2011. ГОСТ Р ИСО/МЭК 31010-2011 Менеджмент риска. Методы оценки риска (Risk management. Risk assessment methods). Дата введения в действие: 01.12.2012 ГОСТ Р ИСО 31000-2010 Менеджмент риска. Принципы и руководство (Risk management. Principles and guidelines). Дата введения в действие: 31.08.2011 ГОСТ 28147-89 Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования. Дата введения в действие: 30.06.1990. ГОСТ Р ИСО/МЭК 27013-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по совместному использованию стандартов ИСО/МЭК 27001 и ИСО/МЭК 20000-1» – вступает в силу 1 сентября 2015 г. ГОСТ Р ИСО/МЭК 27033-3-2014 «Безопасность сетей. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и вопросы управления» – вступает в силу 1 ноября 2015 г ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме» – вступает в силу 1 ноября 2015 г. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. Information technology. Security techniques. Code of practice for information security management. Дата введения в действие 01.01.2014. Код ОКС 35.040. ГОСТ Р 56939-2016 Защита информации. Разработка безопасного программного обеспечения. Общие требования (Information protection. Secure Software Development. General requirements). Дата введения в действие 01.06.2017. ГОСТ Р 51583-2014 Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения. Information protection. Sequence of protected operational system formation. General. 01.09.2014 ГОСТ Р 7.0.97-2016 Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов (System of standards on information, librarianship and publishing. Organizational and administrative documentation. Requirements for presentation of documents). Дата введения в действие 01.07.2017. Код ОКС 01.140.20. ГОСТ Р 57580.1-2017 Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер - Security of Financial (banking) Operations. Information Protection of Financial Organizations. Basic Set of Organizational and Technical Measures. ГОСТ Р ИСО 22301-2014 Системы менеджмента непрерывности бизнеса. Общие требования - Business continuity management systems. Requirements. ГОСТ Р ИСО 22313-2015 Менеджмент непрерывности бизнеса. Руководство по внедрению - Business continuity management systems. Guidance for implementation. ГОСТ Р ИСО/МЭК 27031-2012 Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса - Information technology. Security techniques. Guidelines for information and communication technology readiness for business continuity. ГОСТ Р МЭК 61508-1-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 1. Общие требования. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 1. General requirements. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-2-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 2. Требования к системам. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 2. Requirements for systems. Дата введения 2013-08-01. ГОСТ Р МЭК 61508-3-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ. Требования к программному обеспечению. IEC 61508-3:2010 Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 3: Software requirements (IDT). ГОСТ Р МЭК 61508-4-2012 ФУНКЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ СИСТЕМ ЭЛЕКТРИЧЕСКИХ, ЭЛЕКТРОННЫХ, ПРОГРАММИРУЕМЫХ ЭЛЕКТРОННЫХ, СВЯЗАННЫХ С БЕЗОПАСНОСТЬЮ Часть 4 Термины и определения. Functional safety of electrical, electronic, programmable electronic safety-related systems. Part 4. Terms and definitions. Дата введения 2013-08-01. . ГОСТ Р МЭК 61508-6-2012 Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 6. Руководство по применению ГОСТ Р МЭК 61508-2 и ГОСТ Р МЭК 61508-3. IEC 61508-6:2010. Functional safety of electrical/electronic/programmable electronic safety-related systems - Part 6: Guidelines on the application of IEC 61508-2 and IEC 61508-3 (IDT). ГОСТ Р МЭК 61508-7-2012 Функциональная безопасность систем электрических, Функциональная безопасность систем электрических, электронных, программируемых электронных, связанных с безопасностью. Часть 7. Методы и средства. Functional safety of electrical electronic programmable electronic safety-related systems. Part 7. Techniques and measures. Дата введения 2013-08-01. ГОСТ Р 53647.6-2012. Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных

    Название документа:
    Номер документа: 53113.1-2008
    Вид документа: ГОСТ Р
    Принявший орган: Росстандарт
    Статус: Действующий
    Опубликован:
    Дата принятия: 18 декабря 2008
    Дата начала действия: 01 октября 2009
    Дата редакции: 01 октября 2018

    ГОСТ Р 53113.1-2008 Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения

    ГОСТ Р 53113.1-2008

    Группа Т00

    НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

    Информационная технология

    ЗАЩИТА ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И АВТОМАТИЗИРОВАННЫХ СИСТЕМ ОТ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, РЕАЛИЗУЕМЫХ С ИСПОЛЬЗОВАНИЕМ СКРЫТЫХ КАНАЛОВ

    Часть 1

    Общие положения

    Information technology. Protection of information technologies and automated systems against security threats posed by use of covert channels. Part 1. General principles


    ОКС 35.040

    Дата введения 2009-10-01

    Предисловие

    Предисловие

    1 РАЗРАБОТАН Обществом с ограниченной ответственностью "Криптоком"

    2 ВНЕСЕН Федеральным агентством по техническому регулированию и метрологии

    3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 18 декабря 2008 г. N 531-ст

    4 ВВЕДЕН ВПЕРВЫЕ

    5 ПЕРЕИЗДАНИЕ. Октябрь 2018 г.


    Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. N 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

    Введение

    Развитие, внедрение и использование распределенных информационных систем и технологий, использование импортных программно-аппаратных платформ без конструкторской документации привели к появлению класса угроз информационной безопасности (ИБ), связанных с использованием так называемых скрытых информационных каналов, "невидимых" для традиционных средств защиты информации.

    Традиционные средства обеспечения ИБ такие, как средства разграничения доступа, межсетевые экраны, системы обнаружения вторжений, контролируют только информационные потоки, которые проходят по каналам, предназначенным для их передачи. Возможность обмена информацией вне этих рамок посредством скрытых каналов (СК) не учитывается.

    В системах, требующих обеспечения повышенного уровня доверия, должны учитываться угрозы безопасности, возникающие вследствие наличия возможности несанкционированного действия с помощью СК.

    Опасность СК для информационных технологий (ИТ) и автоматизированных систем (АС) и других активов организации связана с отсутствием контроля средствами защиты информационных потоков, что может привести к утечке информации, нарушить целостность информационных ресурсов и программного обеспечения в компьютерных системах или создать иные препятствия по реализации ИТ.

    Для обеспечения защиты информации, обрабатываемой в АС, необходимо выявлять и нейтрализовывать все возможные информационные каналы несанкционированного действия - как традиционные, так и скрытые.

    Настоящий стандарт входит в серию взаимосвязанных стандартов, объединенных общим наименованием "Информационная технология. Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов", включающий в себя:

    - общие положения;

    - рекомендации по организации защиты информации, ИТ и АС от атак с использованием СК.

    В общих положениях определены задачи, решаемые при проведении анализа СК, описана классификация СК и приведена классификация активов по степени опасности атак с использованием СК.

    Существенным моментом защищенности систем ИТ и АС является доверие к системам защиты. Обеспечение доверия осуществляется путем глубокого анализа или экспертизы программно-аппаратных продуктов с точки зрения их защищенности. Во многих случаях этот анализ затруднен в силу отсутствия исходных данных для его проведения, то есть исходных кодов, конструкторской и тестовой документации, в результате чего создаются угрозы информационным ресурсам, которые могут быть реализованы с помощью неизвестных программно-аппаратных систем и через интерфейсы взаимодействующих программно-аппаратных продуктов.

    Требования доверия к безопасности информации установлены в ГОСТ Р ИСО/МЭК 15408-3 , в соответствии с которым для систем с оценочным уровнем доверия (ОУД), начиная с ОУД5, предусмотрено проведение обязательного анализа СК. При использовании аппаратно-программных продуктов иностранных производителей в условиях отсутствия на них конструкторской, тестовой документации и исходных кодов невозможно гарантировать отсутствие в них потенциально вредоносных компонентов, включенных специально или возникших случайно (например, программной уязвимости). Таким образом, требование анализа СК в Российской Федерации является необходимым условием безопасного функционирования систем, обрабатывающих ценную информацию или использующих импортное аппаратно-программное обеспечение, в том числе и для систем с ОУД ниже ОУД5.

    В рекомендациях по организации защиты информации, ИТ и АС от атак с использованием СК определен порядок поиска СК и противодействия СК.

    Настоящий стандарт разработан в развитие ГОСТ Р ИСО/МЭК 15408-3 , ГОСТ Р ИСО/МЭК 27002 (в части мероприятий по противодействию угрозам ИБ, реализуемым с использованием СК) и .

    1 Область применения

    Настоящий стандарт устанавливает классификацию СК и определяет задачи, решаемые при проведении анализа СК, что является необходимой составляющей для определения дальнейшего порядка организации защиты информации от атак с использованием СК, а также устанавливает порядок проведения анализа СК для продуктов и систем ИТ и АС, результаты которого используются при оценке доверия к мерам защиты информационных систем и ИТ.

    Настоящий стандарт предназначен для заказчиков, разработчиков и пользователей ИТ при формировании ими требований к разработке, приобретению и применению продуктов и систем ИТ, которые предназначены для обработки, хранения или передачи информации, подлежащей защите в соответствии с требованиями нормативных документов или требованиями, устанавливаемыми собственником информации. Настоящий стандарт предназначен также для органов сертификации и испытательных лабораторий при проведении оценки безопасности и сертификации безопасности ИТ и АС, а также для аналитических подразделений и служб безопасности для сопоставления угроз ценным информационным активам с потенциальной возможностью ущерба через СК.

    2 Нормативные ссылки

    В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

    ГОСТ Р ИСО/МЭК 15408-3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности

    ГОСТ Р ИСО/МЭК 27002 Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

    Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

    3 Термины и определения

    В настоящем стандарте применены следующие термины с соответствующими определениями:

    3.1 автоматизированная система: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

    3.2 агент нарушителя: Лицо, программное, программно-аппаратное или аппаратное средство, действующие в интересах нарушителя.

    3.3 активы (assets): Все, что имеет ценность для организации и находится в ее распоряжении.

    Примечание - К активам организации могут относиться:

    - вычислительные, телекоммуникационные и прочие ресурсы;

    - информационные активы, в т.ч. различные виды информации на следующих фазах их жизненного цикла: генерация (создание), обработка, хранение, передача, уничтожение;

    - продукты и услуги, предоставляемые сторонним организациям.

    3.4 блокирование доступа (к информации): Прекращение или затруднение доступа законных пользователей к информации.

    3.5 вредоносная программа: Программа, предназначенная для осуществления несанкционированного доступа и (или) воздействия на информацию или ресурсы информационной системы.

    3.6 глубина анализа скрытого канала: Степень варьирования применяемых средств по сложности для идентификации скрытого канала и его характеристик.

    3.7 доверие (assurance): Основание для уверенности в том, что объект соответствует целям безопасности.

    3.8 идентификация скрытого канала: Выявление возможности существования скрытого канала и определение его места в классификации.

    3.9 информация ограниченного доступа: Вид сведений, доступ к которым ограничен и разглашение которых может нанести ущерб интересам других лиц, общества и государства.

    3.10 информационная безопасность (information security): Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.

    3.11 информационная система: Организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы.

    Примечание - Информационные системы предназначены для хранения, обработки, поиска, распространения, передачи и предоставления информации.

    3.12 информационная технология: Приемы, способы и методы применения средств вычислительной техники при выполнении функций сбора, хранения, обработки, передачи и использования данных.

    3.13 информационный объект: Элемент программы, содержащий фрагменты информации, циркулирующей в программе.

    Примечание - В зависимости от языка программирования в качестве информационных объектов могут выступать переменные, массивы, записи, таблицы, файлы, фрагменты оперативной памяти и т.п.

    3.14 информационный поток (information flow): Процесс взаимодействия источника информации и ее получателя.

    Примечание - Информационный поток может быть разрешенным и неразрешенным. Информационный поток между объектами X и Y существует, если средняя взаимная информация I (X, Y) больше 0. Математическая модель информационного потока может определяться как конечный автомат, в котором источник сообщения посылает входное слово на вход автомата, а получатель сообщения видит выходную последовательность автомата.

    3.15 исчерпывающий анализ скрытых каналов (exhaustive covert channel analysis): Анализ, при котором требуется представление дополнительного свидетельства, показывающего, что план идентификации скрытых каналов достаточен для утверждения того, что были испробованы все возможные пути исследования скрытых каналов.

    3.16 ключ: Конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования из совокупности всевозможных для данного алгоритма преобразований.

    3.17 коммуникационный канал: Совокупность носителей информации, доставляющих сообщение от источника к приемнику.

    3.18 критически важные объекты: Объекты, нарушение или прекращение функционирования которых приводит к потере управления, разрушению инфраструктуры, необратимому негативному изменению или разрушению экономики страны, субъекта или административно-территориальной единицы или к существенному ухудшению безопасности жизнедеятельности населения, проживающего на этих территориях длительный период времени.

    3.19 механизм передачи информации: Реализованный способ передачи информации от отправителя к получателю.

    3.20 модификация информации: Целенаправленное изменение формы представления и содержания информации.

    3.21 нарушитель безопасности информации (adversary): Физическое лицо (субъект), случайно или преднамеренно совершившее действия, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах.

    3.22 несанкционированный доступ к информации (unauthorized access to information): Доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

    Примечание - Доступ к объекту подразумевает и доступ к содержащейся в нем информации.

    3.23 объект (object): Пассивный компонент системы, хранящий, принимающий или передающий информацию.

    3.24 оценка опасности: Определение степени возможного деструктивного воздействия.

    3.25 оценочный уровень доверия (evaluation assurance level): Пакет компонентов доверия, представляющий некоторое положение на предопределенной в нем шкале доверия.

    Примечание - Пакет компонентов доверия определяется в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3 .

    3.26 пароль доступа (password): Идентификатор субъекта доступа, который является его (субъекта) секретом.

    3.27 персональные данные: Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

    Примечание - В качестве персональных данных могут использоваться фамилия, имя, отчество, год, месяц, дата и место рождения субъекта персональных данных, а также адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и другая информация.

    3.28 политика безопасности информации (information security policy): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

    3.29 продукт (product): Совокупность программных, программно-аппаратных и/или аппаратных средств информационных технологий, предоставляющая определенные функциональные возможности и предназначенная для непосредственного использования или включения в различные системы.

    3.30 пропускная способность скрытого канала (covert channel capacity): Количество информации, которое может быть передано по скрытому каналу в единицу времени или относительно какой-либо другой шкалы измерения.

    3.31 система (system): Специфическое воплощение информационных технологий с конкретным назначением и условиями эксплуатации.

    3.32 систематический анализ скрытых каналов (systematic covert channel analysis): Анализ, при котором разработчик системы информационных технологий и автоматизированных систем должен идентифицировать скрытые каналы структурированным и повторяемым образом в противоположность идентификации скрытых каналов частным методом, применимым для конкретной ситуации.

    Примечание - Идентификация скрытых каналов осуществляется, как правило, в соответствии с планом обеспечения безопасности.

    3.33 скрытый канал (covert channel): Непредусмотренный разработчиком системы информационных технологий и автоматизированных систем коммуникационный канал, который может быть применен для нарушения политики безопасности.

    3.34 среда передачи: Физическая реализация процесса передачи информации.

    3.35 субъект (subject): Активный компонент системы, обычно представленный в виде пользователя, процесса или устройства, которые могут явиться причинами потока информации от объекта к объекту или изменения состояния системы.

    3.36 угроза безопасности (threat): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.

    3.37 уполномоченный пользователь (authorised user): Пользователь, которому в соответствии с политикой безопасности разрешено выполнять какую-либо операцию.

    3.38 ущерб: Отрицательные последствия, возникающие вследствие причинения вреда активам.

    3.39 уязвимость: Свойство системы, которое можно использовать для нарушения информационной безопасности системы информационных технологий и автоматизированных систем.

    4 Общие положения

    4.1 Настоящий стандарт определяет следующий порядок действий по определению степени опасности СК для активов организации, выявлению и противодействию СК:

    - проведение классификации активов в зависимости от степени опасности атак с использованием СК с учетом возможных угроз безопасности активам;

    - определение необходимой глубины анализа СК в зависимости от типа активов;

    - проведение анализа СК, включающее в себя выполнение следующих задач:

    идентификация (выявление) СК,

    оценка пропускной способности СК и оценка опасности, которую несет их скрытое функционирование;

    - мероприятия по защите от угроз, реализуемых с использованием СК, и включающие в себя выполнение следующих задач:

    принятие решений о внедрении защитных мер для противодействия указанным угрозам безопасности,

    противодействие реализации СК вплоть до его уничтожения.

    4.2 Классификация защищаемых активов в зависимости от степени опасности атак с использованием СК приведена в разделе 7.

    4.3 Глубину анализа СК определяют ценностью активов, то есть ущербом, который может быть причинен в результате реализации угроз безопасности, реализуемых с использованием СК, то есть рисков, возникающих вследствие наличия этих угроз. Классификация таких угроз приведена в разделе 6.

    4.4 Идентификация СК определяет субъекты (источник и получателя), между которыми потенциально может существовать СК, параметры, при манипулировании которыми происходит передача информации, параметры, за счет вариации которых происходит чтение информации, среду передачи информации, логические условия, при которых возможна передача информации. Идентификация СК может проводиться как при разработке системы путем исследования потенциальных каналов утечки или каналов воздействия, так и в режиме эксплуатации системы путем наблюдения признаков, идентифицирующих наличие СК. В последнем случае СК выявляются с помощью наблюдения за параметрами системы. В документации по безопасности информации должно быть отражено, какие классы СК могут быть выявлены с помощью используемой системы наблюдения.

    4.5 Оценку пропускной способности идентифицированных СК проводят формальными, техническими методами или методами моделирования.

    4.6 При принятии решений о внедрении защитных мер для противодействия угрозам безопасности, реализуемым с использованием СК, необходимо учитывать возможный риск нанесения ущерба активам организации, который связан в том числе с пропускной способностью СК.

    4.7 Противодействие опасным СК может осуществляться с помощью следующих средств и методов:

    - построение архитектуры ИТ или АС, позволяющей перекрыть СК или сделать их пропускную способность настолько низкой, что каналы становятся неопасными. Этот метод применяется на этапе проектирования ИТ или АС;

    - использование технических средств, позволяющих перекрывать СК или снижать их пропускную способность ниже заданного уровня;

    - использование программно-технических средств, позволяющих выявлять работу опасных СК в процессе эксплуатации системы. Выявление признаков работы СК может позволить блокировать их воздействие на информационные ресурсы;

    - применение организационно-технических мер, позволяющих ликвидировать СК или уменьшить их пропускную способность до безопасного значения.

    5 Классификация скрытых каналов

    5.1 СК по механизму передачи информации подразделяют на:

    - СК по памяти;

    - СК по времени;

    - скрытые статистические каналы.

    5.2 СК по памяти основаны на наличии памяти, в которую передающий субъект записывает информацию, а принимающий - считывает ее.

    Скрытость каналов по памяти определяется тем, что сторонний наблюдатель не знает того места в памяти, где записана скрываемая информация.

    СК по памяти предполагают использование ресурсов памяти, однако способ использования памяти не учитывается разработчиками системы защиты и поэтому не может выявляться используемыми средствами защиты.

    5.3 СК по времени предполагают, что передающий информацию субъект модулирует с помощью передаваемой информации некоторый изменяющийся во времени процесс, а субъект, принимающий информацию, в состоянии демодулировать передаваемый сигнал, наблюдая несущий информацию процесс во времени. Например, в многозадачной операционной системе (ОС) центральный процессор является разделяемым информационно-вычислительным ресурсом для прикладных программ. Модулируя время занятости процессора, приложения могут передавать друг другу нелегальные данные.

    5.4 Скрытый статистический канал использует для передачи информации изменение параметров распределений вероятностей любых характеристик системы, которые могут рассматриваться как случайные и описываться вероятностно-статистическими моделями.

    Скрытость таких каналов основана на том, что получатель информации имеет меньшую неопределенность в определении параметров распределений наблюдаемых характеристик системы, чем наблюдатель, не имеющий знаний о структуре СК.

    Например, появление реальной, но маловероятной комбинации в присланном пакете в заданный промежуток времени может означать сигнал к сбою в компьютерной системе.

    5.5 СК по памяти, в свою очередь, подразделяют на:

    - СК, основанные на сокрытии информации в структурированных данных;

    - СК, основанные на сокрытии информации в неструктурированных данных.

    5.6 СК, основанные на сокрытии информации в структурированных данных, используют встраивание данных в информационные объекты с формально описанной структурой и формальными правилами обработки. Например, внутренний формат файлов, используемых современными текстовыми процессами, содержит ряд полей, не отображаемых при редактировании файла, поэтому они могут быть использованы для вставки скрытой информации.

    5.7 СК, основанные на сокрытии информации в неструктурированных данных, используют встраивание данных в информационные объекты без учета формально описанной структуры (например, запись скрытой информации в наименее значимые биты изображения, не приводящая к видимым искажениям изображения).

    5.8 СК по пропускной способности подразделяют на:

    - канал с низкой пропускной способностью;

    - канал с высокой пропускной способностью.

    5.9 СК является каналом с низкой пропускной способностью, если его пропускной способности достаточно для передачи ценных информационных объектов минимального объема (например, криптографические ключи, пароли) или команд за промежуток времени, на протяжении которого данная передача является актуальной.

    5.10 СК является каналом с высокой пропускной способностью, если его пропускная способность позволяет передавать информационные объекты среднего и большого размера (например, текстовые файлы, изображения, базы данных) за промежуток времени, на протяжении которого данные информационные объекты являются ценными.

    Для решения сложных задач может использоваться комбинация СК, опирающихся на различные механизмы передачи.

    6 Классификация угроз безопасности, реализуемых с использованием скрытых каналов

    6.1 Угрозы безопасности, которые могут быть реализованы с помощью СК, включают в себя:

    - внедрение вредоносных программ и данных;

    - подачу злоумышленником команд агенту для выполнения;

    - утечку криптографических ключей или паролей;

    - утечку отдельных информационных объектов.

    6.2 Реализация данных угроз может привести к:

    - нарушению конфиденциальности информационных активов;

    - нарушению работоспособности ИТ и АС;

    - блокированию доступа к ресурсам;

    - нарушению целостности данных и ПО.

    6.3 Системами, наиболее подверженными атакам с использованием СК, являются:

    - многопользовательские распределенные системы;

    - системы с выходом в глобальные сети;

    - системы, использующие криптографические средства защиты;

    - системы, использующие многоуровневую (мандатную) политику разграничения доступа;

    - системы, программно-аппаратные агенты в которых не могут быть обнаружены (в связи с использованием программного и аппаратного обеспечения с недоступным исходным кодом и в связи с отсутствием конструкторской документации).

    6.4 Взаимосвязь угроз, реализуемых с помощью СК, с типами СК в зависимости от их пропускной способности приведена в таблице 1.


    Таблица 1 - Взаимосвязь угроз, реализуемых с помощью скрытых каналов, с типами скрытых каналов в зависимости от их пропускной способности

    Тип скрытых каналов

    Скрытые каналы с низкой пропускной способностью

    Скрытые каналы с высокой пропускной способностью

    Внедрение вредоносных программ и данных

    Подача злоумышленником команд агенту для выполнения

    Утечка криптографических ключей или паролей

    Утечка отдельных информационных объектов

    Примечание - знак "+" - означает, что имеется связь угрозы с соответствующим типом скрытого канала; знак "-" - означает, что связи не существует.

    7 Классификация активов по степени опасности атак с использованием скрытых каналов

    7.1 В зависимости от степени опасности атак с использованием СК защищаемые активы организации подразделяют на следующие классы:

    1-й класс - активы, содержащие информацию, степень подверженности которой атакам, реализуемым с использованием СК, определяет собственник.

    2-й класс - активы, содержащие информацию ограниченного доступа или персональные данные и обрабатываемые в системах, имеющих технические интерфейсы с открытыми сетями или компьютерными системами общего доступа, а также компьютерными системами, не предполагающими защиту от утечки по техническим каналам.

    3-й класс - активы, содержащие сведения, составляющие государственную тайну.

    7.2 Кроме того, существует особый класс активов, которые уязвимы с точки зрения угроз, реализуемых с использованием СК с низкой пропускной способностью. К этой группе относятся:

    Класс А - активы, связанные с функционированием критически важных объектов. Например, передача команды, способной инициализировать деструктивное воздействие на объект такого типа, может быть осуществлена по СК с низкой пропускной способностью.

    Класс Б - активы, содержащие ключевую/парольную информацию, в том числе ключи криптографических систем защиты информации и пароли доступа к иным активам. Например, утечка ключевой/парольной информации по СК может поставить под угрозу функционирование всей информационной системы.

    Библиография

    Руководящий документ.
    Гостехкомиссия России

    Ключевые слова: скрытые каналы, анализ скрытых каналов, классификация скрытых каналов, атаки с использованием скрытых каналов, угрозы безопасности, реализуемые с использованием скрытых каналов, классификация активов по степени опасности атак с использованием скрытых каналов



    Электронный текст документа
    подготовлен АО "Кодекс" и сверен по:
    официальное издание
    М.: Стандартинформ, 2018

    ГОСТ Р 53113.1-2008 Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения

    Название документа:
    Номер документа: 53113.1-2008
    Вид документа: ГОСТ Р
    Принявший орган: Росстандарт
    Статус: Действующий
    Опубликован: Официальное издание. М.: Стандартинформ, 2018 год
    Дата принятия: 18 декабря 2008
    Дата начала действия: 01 октября 2009
    Дата редакции: 01 октября 2018

    ГОСТ Р 53113.1-2008 Информационная технология (ИТ). Защита информационных технологий и автоматизированных систем от угроз информационной безопасности, реализуемых с использованием скрытых каналов. Часть 1. Общие положения