• Мое избранное
  • Сохранить в Word
  • Сохранить в Word
    (альбомная ориентация)
  • Сохранить в Word
    (с оглавлением)
  • Сохранить в PDF
  • Отправить по почте
Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования.
Документ показан в демонстрационном режиме! Стоимость: 2000 тг/год

Отправить по почте

Toggle Dropdown
  • Комментировать
  • Поставить закладку
  • Оставить заметку
  • Информация new
  • Редакции абзаца
  • 9

СТ РК ГОСТ Р 50739-2006

(ГОСТ Р 50739-95, IDT)
Средства вычислительной техники
Защита от несанкционированного доступа к информации
Общие технические требования
Данный стандарт действует на территории РК в соответствии с приказом Комитета по техническому регулированию и метрологии Министерства индустрии и торговли Республики Казахстан от 11 декабря 2006 года № 536 
Предисловие
1 ПОДГОТОВЛЕН И ВНЕСЕН ТОО «Специальное конструкторско-технологическое бюро «Гранит» на основе стандарта, указанного в пункте 3
2 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ приказом Комитета по техническому регулированию и метрологии Министерства индустрии и торговли Республики Казахстан от 11 декабря 2006 года № 536
3 Настоящий стандарт идентичен стандарту Российской Федерации ГОСТ Ρ 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования»
4 В настоящем стандарте реализованы нормы законов Республики Казахстан «О техническом регулировании», «О языках в Республике Казахстан», Соглашения Всемирной торговой организации по техническим барьерам в торговле
5 СРОК ПЕРВОЙ ПРОВЕРКИ 2011 год  
ПЕРИОДИЧНОСТЬ ПРОВЕРКИ 5 лет
6 ВВЕДЕН ВПЕРВЫЕ
Дата введения 2008.01.01
Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Комитета по техническому регулированию и метрологии Министерства индустрии и торговли Республики Казахстан.
1 Область применения
Настоящий стандарт устанавливает единые функциональные требования к защите средств вычислительной техники от несанкционированного доступа к информации; к составу документации на эти средства, а также номенклатуру показателей защищенности средств вычислительной техники, описываемых совокупностью требований к защите и определяющих классификацию средств вычислительной техники по уровню защищенности от несанкционированного доступа к информации.
Под средствами вычислительной техники в данном стандарте понимается совокупность программных и технических элементов систем обработки данных; способных функционировать самостоятельно или в составе других систем.
Применение в комплекте средств вычислительной техники средств криптографической защиты информации может быть использовано для повышения гарантий качества защиты.
Требования настоящего стандарта являются обязательными для исполнения при проведении защиты от технических разведок объектов и средств вычислительной техники органами государственной власти и управления, предприятиями, в которых циркулирует закрытая информация, подлежащая защите в интересах Республики Казахстан.
2 Сокращения
В настоящем стандарте применены следующие сокращения:  
СВТ - средства вычислительной техники;  
НСД - несанкционированный доступ;  
КСЗ - комплекс средств защиты;  
ПРД - правила разграничения доступа.
3 Общие положения
3.1 Требования к защите реализуются в СВТ в виде совокупности программно-технических средств защиты.
Совокупность всех средств защиты составляет комплекс средств защиты.
3.2 В связи с тем, что показатели защищенности СВТ описываются требованиями, варьируемыми по уровню и глубине в зависимости от класса защищенности СВТ, в настоящем стандарте для любого показателя приводится набор требований, соответствующий высшему классу защищенности от НСД.
3.3 Стандарт следует использовать при разработке технических заданий, при формулировании и проверке требований к защите информации.
4 Технические требования
Защищенность от НСД к информации при ее обработке СВТ характеризуется тем, что только надлежащим образом уполномоченные лица или процессы, инициированные ими, будут иметь доступ к чтению, записи, созданию или уничтожению информации.
Защищенность обеспечивается тремя группами требований к средствам защиты, реализуемым в СВТ:
а) требования к разграничению доступа, предусматривающие то, что СВТ должны поддерживать непротиворечивые, однозначно определенные ПРД;
б) требования к учету, предусматривающие то, что СВТ должны поддерживать регистрацию событий, имеющих отношение к защищенности информации;
в) требования к гарантиям, предусматривающие необходимость наличия в составе СВТ технических и программных механизмов, позволяющих получить гарантии того, что СВТ обеспечивают выполнение требований к разграничению доступа и к учету.
5 Группы требований
5.1 Требования к разграничению доступа
5.1.1 Требования к разграничению доступа определяют следующие показатели защищенности, которые должны поддерживаться СВТ:
а) дискретизационный принцип контроля доступа;
б) мандатный принцип контроля доступа;
в) идентификация и аутентификация;
г) очистка памяти;
д) изоляция модулей;
е) защита ввода и вывода на отчуждаемый физический носитель информации;
ж) сопоставление пользователя с устройством.
5.1.2 Для реализации дискретизациоиного принципа контроля доступа КСЗ должен контролировать доступ именованных субъектов (пользователей) к именованным объектам (например, файлам, программам, томам).
Для каждой пары (субъект - объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (например, «читать, писать»), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).
Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).
Механизм, реализующий дискретизационный принцип контроля доступа, должен предусматривать санкционированное изменение ПРД, в том числе санкционированное изменение списка пользователей СВТ и списка защищаемых объектов.
Право изменять ПРД должно быть предоставлено выделенным субъектам (например, администрации, службе безопасности).
Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.