3 РД ФСТЭК, НПО и АС КВО

Аватар пользователя e.v.rodygin
Автор: Родыгин Евгений, Группа "Кронштадт"
(0)
()

Итак начнем.
К нормативным и руководящим документам, содержащим требования, касающиеся безопасности применения прикладного ПО можно отнести следующие: руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (Гостехкомиссия России, 1992 г.) (далее РД СВТ), руководящий документ «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» (Гостехкомиссия России, 1999 г.) (далее РД НДВ), руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) (далее РД АС), пока хватит …


Анализ требований, предъявляемых РД СВТ
Показатели защищенности СВТ, указанные в РД СВТ, применяются только к общесистемным программным средствам и операционным системам (с учетом архитектуры ЭВМ) (п.п. 1.2.). Таким образом, требования данного РД предъявляются к среде функционирования прикладного программного обеспечения.
В соответствии с п. 1.3. РД СВТ, требования к показателям защищенности реализуются с помощью программно-технических средств. Совокупность всех средств защиты составляет комплекс средств защиты (далее КСЗ).
В соответствии с РД СВТ, объектами доступа являются любые информационные объекты СВТ. Соответственно, обеспечение защиты информационных объектов, которые обрабатываются прикладным программным обеспечением прямо возложено на комплекс средств защиты. Никакие требования к прикладному программному обеспечению руководящим документом не предъявляются.
В соответствии с требованиями РД СВТ КСЗ должен контролировать не только обращения прикладного программного обеспечения к ресурсам СВТ, но и потоки информации.
Выполнение комплексом средств защиты требований РД СВТ по очистке памяти (п. 2.5.3.), изоляции модулей (п. 2.5.4.), защите ввода и вывода на отчуждаемый физический носитель информации (включая каналы связи) (п. 2.5.6.) должно исключить любые попытки прикладных процессов несанкционированно распространять защищаемую информацию, а так же влиять на работу других программных модулей АС. Данные требования должны обеспечиваться для всего программного прикладного программного обеспечения вне зависимости от его характеристик.
По результатам анализа требований РД СВТ, можно сделать вывод о том, что КСЗ обязан обеспечить требуемый уровень защищенности вне зависимости от характеристик прикладного программного обеспечения. Иными словами, любые попытки прикладного программного обеспечения выполнить несанкционированные действия должны пресекаться механизмами КСЗ.


Анализ требований, предъявляемых РД НДВ

Действие документа распространяется только на программное обеспечение средств защиты информации. В некоторых случаях, требования РД НДВ распространяют на прикладное программное обеспечение, участвующее в обработке критически важной или конфиденциальной информации.
Требования РД НДВ применимы только для проведения оценки программного обеспечения, для которого присутствуют исходные тексты.
По результатам анализа требований РД НДВ, можно сделать вывод о том, что содержащиеся в нем требования не применимы для анализа прикладного программного обеспечения, для которого исходные тексты отсутствуют.


Анализ требований, предъявляемых РД АС

В соответствии с РД АС, подсистема обеспечения целостности должна обеспечивать целостность программных средств СЗИ НСД, обрабатываемой информации, а также неизменность программной среды.
По отношению к прикладному программному обеспечению применимы следующие требования РД АС:


  1. прикладное программное обеспечение должно быть разработано с использованием трансляторов с языков высокого уровня;
  2. в прикладном программном обеспечении должны отсутствовать средства модификации объектного кода программ в процессе обработки и (или) хранения защищаемой информации;
  3. прикладное программное обеспечение должно быть идентифицируемо;
  4. программные модули и процессы прикладного программного обеспечения должны быть      регистрируемыми при их запуске;
  5. РД АС предъявляет требования к качеству приемки прикладного программного обеспечения, предназначенного для обработки защищенных файлов.

          Вывод:

          При рассмотрении актуальных угроз безопасности применения НПО в АС КВО, необходимо учитывать требования по использованию в составе АС КВО средств защиты информации, разработанных в соответствии с требованиями нормативных документов и прошедших оценку соответствия.
           
          Комментарии в Facebook
           

          Вы сообщаете об ошибке в следующем тексте:
          Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.