03. Вибір ОС, АВПЗ і КЗЗ

Перед початком розробки технічного завдання на створення КСЗІ в ІТС здійснюється вибір технічних і програмно-апаратних засобів, які реалізують задані вимоги щодо надійного функціонування ІТС та захисту інформації, яка в ній обробляється.

До таких першочергових засобів в ІТС відносяться:
- операційна система (далі - ОС);
- антивірусне програмне забезпечення (далі - АВПЗ);
- комплекс засобів захисту (далі - КЗЗ) у разі потреби.

Стаття 8 Закону України «Про захист інформації в ІТС» визначає, що для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері захисту інформації.

Тобто засоби захисту інформації, інші технічні засоби та програмне забезпечення ІТС, що планується задіяти в КСЗІ, повинні мати підтвердження їхньої відповідності НД ТЗІ (сертифікат відповідності або експертний висновок) і використовуватись згідно цих вимог.

Здійснення сертифікації, підтвердження відповідності та проведення державної експертизи таких засобів  здійснює Адміністрація Держспецзв'язку. Вона веде «Перелік засобів ТЗІ, дозволених для забезпечення технічного захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом» (далі - Перелік), який формується відповідно до пункту 17 «Положення про ТЗІ в Україні», затвердженого Указом Президента України від 27.09.99 № 1229.

Перелік призначений для використання суб'єктами системи ТЗІ під час час створення та модернізації КСЗІ в АС. Перелік містить номенклатуру технічних засобів із захистом інформації, засобів ТЗІ, засобів контролю за ефективністю ТЗІ, засобів виявлення та індикації загроз безпеці інформації, відповідність яких вимогам нормативних документів з питань ТЗІ засвідчено сертифікатом відповідності або позитивним експертним висновком.

Отримання цих документів регламентується такими нормативно-правовими актами:

- Правилами проведення робіт із сертифікації засобів захисту інформації, затвердженими спільним наказом Адміністрації Держспецзв'язку та Держспоживстандарту України від 25.04.2007 № 75/91 і зареєстрованими в Міністерстві юстиції України 14.05.2007 за № 498/13765;

- Положенням про державну експертизу в сфері ТЗІ, затвердженим наказом Адміністрації Держспецзв'язку України від 16.05.2007 № 93 і зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087.

Використання засобів з цього Переліку під час створення та модернізації КСЗІ в АС не увільняє від оцінювання відповідності досягнутого рівня захисту вимогам НД ТЗІ, яке здійснюється шляхом експертизи КСЗІ в АС. Можливість подальшого використання засобів, які не ввійшли до цього Переліку, в діючій КСЗІ в АС визначається за результатом їх чергової експертизи.

Оновлення інформації, яка міститься в Переліку, здійснюється шляхом періодичного внесення змін до попередньої редакції. Перелік та його доповнення розміщуються на веб-сайті Держспецзв'язку.

Використання засобів ТЗІ, які на момент проектування КСЗІ не мають підтвердження відповідності у сфері ТЗІ

У разі необхідності використання в КСЗІ засобів ТЗІ, які на момент проектування КСЗІ не мали документа (сертифіката відповідності або експертного висновку), що підтверджує їх відповідність у сфері ТЗІ, ці засоби згідно з «Правилами забезпечення захисту інформації в ІТС», затвердженими ПКМУ від 29 березня 2006 року № 373, мають піддаватися відповідному оцінюванню під час проведення державної експертизи КСЗІ.

При цьому має оцінюватися відповідність засобів ТЗІ вимогам НД ТЗІ в обсязі показників тих функцій захисту, які реалізовані для захисту інформації, що обробляється в даній ІТС. Також має оцінюватися можливість створення цими засобами ТЗІ технічних каналів витоку інформації (в тому числі через закладні пристрої).

Має бути проведений аналіз особливостей застосування засобів ТЗІ в даній ІТС, за результатами якого мають бути встановлені (ідентифіковані, уточнені) функції захисту, які реалізовані для захисту інформації саме в даній ІТС, та показники цих функцій.

Програма та методика проведення державної експертизи КСЗІ має містити перелік робіт щодо визначення (вимірювання) встановлених за результатами аналізу показників функцій захисту засобів ТЗІ, оцінки відповідності цих показників вимогам НД ТЗІ та оцінки можливості створення цими засобами ТЗІ технічних каналів витоку інформації. Також мають бути наведені нормативні документи з питань ТЗІ, які визначають вимоги до цих показників.

Результати визначення (вимірювань) показників функцій захисту засобів ТЗІ, результати їх порівняння з вимогами нормативних документів та результати оцінювання можливості створення цими засобами ТЗІ технічних каналів витоку інформації мають відображатися у відповідних протоколах, які подаються на розгляд Експертної ради Адміністрації Держспецзв'язку разом з матеріалами державної експертизи КСЗІ (з Протоколом державної експертизи КСЗІ та Експертним висновком).

Засоби ТЗІ, які пройшли оцінювання під час державної експертизи КСЗІ, можуть використовуватись для захисту інформації виключно у складі цієї КСЗІ.

1. Вибір ОС для робочої станції (АС класу 1)

На даний час позитивний експертний висновок мають такі ОС: Windows 8 Professional і Windows 10 Professional. Крім цих, розглянемо ще захищену ОС «myLinux 3.1 ОКО», що отримала позитивний експертний висновок у 2006 році, дані яких для зручного порівняння викладемо у табличному вигляді.

1

Комплекс засобів захисту ОС

myLinux 3.1 ОКО

Windows
8 Profes.

Windows
10 Profes.

2

Виробник

Україна, ТОВ «Майлінукс»

США, Microsoft

США, Microsoft

3

Експертний висновок дійсний до

№ 83 25.07.2009

№ 485 20.12.2016

№ 660 28.04.2019

4

Рівень гарантій

Г3

Г2

Г2

Послуги конфіденційності

1

базова адміністр. конфіденційність

КА-2

-

-

2

базова довірча конфіденційність

КД-2

КД-2

КД-2

3

повторне використання об'єктів

КО-1

КО-1

КО-1

4

мінімальна конфіденційність при обміні

КВ-1

КВ-1

КВ-1

Послуги цілісності

1

базова адміністративна цілісність

ЦА-2

-

-

2

базова / мінімальна довірча цілісність

ЦД-2

ЦД-1

ЦД-1

3

обмежений відкат

ЦО-1

ЦО-1

ЦО-1

4

мінімальна цілісність при обміні

-

ЦВ-1

ЦВ-1

Послуги доступності

1

використання ресурсів - квота

ДР-1

ДР-1

ДР-1

2

стійкість при обмежених відмовах

ДС-1

-

-

3

обмежена гаряча заміна

ДЗ-2

ДЗ-2

ДЗ-2

4

автоматизоване відновлення

ДВ-1

ДВ-2

ДВ-2

Послуги спостереженості

1

захищений журнал

НР-2

НР-2

НР-2

2

множинна / одиночна ідент. і автентифікація

НИ-3

НИ-2

НИ-2

3

дво / однонаправлений достовірний канал

НК-2

НК-1

НК-1

4

виділення адміністратора / розподіл обов'язків на підставі привілеїв

НО-2

НО-3

НО-3

5

КЗЗ з контролем цілісності / гарантованою цілісністю

НЦ-1

НЦ-2

НЦ-2

6

самотестування при старті

НТ-2

НТ-2

НТ-2

7

автентифікація вузла

-

НВ-1

НВ-1

Здійснивши порівняльний аналіз послуг безпеки ФПЗ механізмів захисту вище зазначених ОС, можна зробити такі висновки:

- КЗЗ ОС обох «Windows» однакові і забезпечують тільки довірче керування доступом;

- КЗЗ ОС «myLinux 3.1 ОКО» є найсильнішим, оскільки у порівнянні з «Windows» забезпечує вищий рівень гарантій Г-3 і послуги базової адміністративної конфіденційності КА-2 і цілісності ЦА-2, а також стійкості при обмежених відмовах ДС-1 і множинної ідентифікації та автентифікації НИ-3, що забезпечує надійний захист інформації від несанкціонованого і неконтрольованого ознайомлення, модифікації, знищення, копіювання та розповсюдження.

На жаль, на даний час ОС «myLinux 3.1 ОКО» не має позитивного експертного висновку.

Таким чином, КЗЗ ОС «Windows» не забезпечує виконання вимог пунктів 6 і 7 Правил щодо забезпечення захисту ІзОД від несанкціонованого і неконтрольованого ознайомлення, модифікації, знищення, копіювання, розповсюдження і забезпечення можливості надання користувачу права на виконання однієї або декількох операцій з оброблення конфіденційної інформації або позбавлення його такого права...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика