Aplicación del método de ontología dimensional a la hora de elegir medios de protección técnica de la información frente al acceso no autorizado.

logo11d 4 1

Aplicación del método de ontología dimensional cuando elección de herramientas protección técnica de la información contra el acceso no autorizado.

Aplicación del método de ontología dimensional al elegir medios de protección técnica de la información contra el acceso no autorizado

NAGORNY Serguéi Ivanovich
DONTSOV Vadim Vladimirovich, candidato de ciencias técnicas, investigador principal

Aplicación del método de ontología dimensional al seleccionar medios
de protección técnica de la información de acceso no autorizado

Fuente: revista «Special Equipment» N° 1 2008

En 1931, el matemático Kurt Gödel publicó un breve artículo que simplemente trastornó al mundo entero de la llamada “lógica matemática”. Después de largos y complejos preámbulos matemáticos y teóricos, estableció literalmente lo siguiente. Tomemos cualquier afirmación como: “El supuesto nº 247 en este sistema de axiomas es lógicamente indemostrable” y llamémosla “afirmación “A”. “Si el enunciado “A” puede ser probado, entonces el enunciado “no-A” también puede ser probado. En otras palabras, si es posible probar la validez de la afirmación “El supuesto n.° 247 es indemostrable”, entonces también se puede probar la veracidad de la afirmación “El supuesto n.° 247 es demostrable”. Es decir, volviendo a la formulación del segundo problema de Hilbert, si el sistema de axiomas es completo (es decir, cualquier enunciado que contenga puede ser probado), entonces es contradictorio. Entonces, la formulación del primer teorema de incompletitud o débil de Gödel es: «Cualquier sistema formal de axiomas contiene supuestos no resueltos». Gödel formuló y demostró además el segundo teorema de incompletitud: “La completitud (o incompletitud) lógica de cualquier sistema de axiomas no puede demostrarse dentro del marco de ese sistema. Para probarlo o refutarlo, se requieren axiomas adicionales (fortalecer el sistema)”.

El objetivo de este artículo es estudiar la “compatibilidad” de las propiedades de los medios técnicos de protección de la información contra el acceso no autorizado (NSD) disponibles en el mercado con el sistema de restricciones de la legislación vigente que regula las relaciones jurídicas en el ámbito considerado. La eficacia de la gestión en cualquier campo administrativo depende en gran medida de qué tan correctamente se identifiquen los fundamentos metodológicos de la gestión. En la etapa actual, el sistema de órganos en el campo de la reglamentación técnica y la normalización ha sufrido cambios importantes, pero los objetivos de la reforma — garantizar la seguridad y la calidad de los productos en el mercado ruso — no alcanzado.

La cuestión del contenido de los reglamentos técnicos también resultó problemática. El ámbito de aplicación y las características del objeto de regulación determinan el contenido específico de la norma jurídica que establece el reglamento. Por un lado, la normativa debe establecer requisitos mínimos de seguridad, tener en cuenta los riesgos y minimizarlos y, en base a ello, fijar el nivel requerido de indicadores relevantes, es decir, introducir normas técnicas. Por otro lado, la normativa — Se trata de un acto jurídico normativo que debería ser comprensible para una amplia gama de personas. La norma técnica que establezca el reglamento debe regular las relaciones sociales generales, y no las cuestiones privadas, es decir, no debe contener indicadores técnicos y tecnológicos específicos. Hoy en día, cuando los desarrolladores escriben los textos de los reglamentos técnicos, su “relleno” lógico, estructural y de contenido de forma independiente, no siempre se cumplen los requisitos de la tecnología legislativa [1].

Se debe prestar especial atención al problema de la relación entre los requisitos establecidos en los reglamentos técnicos y la legislación federal que regula las relaciones jurídicas en general. Como ejemplo, consideremos el sistema de “seguridad de la información técnica” utilizado para proteger secretos de estado. El 8 de julio de 2006, la Duma del Estado adoptó la Ley Federal (FL) «Sobre Información, Tecnologías de la Información y Protección de la Información».

Esta Ley Federal regula las relaciones que surgen de:

  • ejercicio del derecho a buscar, recibir, transmitir, producir y distribuir información;
  • uso de la información tecnología;
  • garantizar la seguridad de la información.

De conformidad con el artículo 15 de la Ley Federal mencionada en el territorio de la Federación de Rusia, el uso de las redes de información y telecomunicaciones se lleva a cabo de conformidad con los requisitos de la legislación de la Federación de Rusia en el campo de las comunicaciones y otros actos legales reglamentarios. de la Federación Rusa. Las características de la conexión de los sistemas de información estatales a las redes de información y telecomunicaciones pueden establecerse mediante un acto jurídico reglamentario del Presidente de la Federación de Rusia o un acto jurídico reglamentario del Gobierno de la Federación de Rusia. Los medios técnicos destinados a procesar la información contenida en los sistemas de información estatales, incluidos el software, el hardware y los medios de seguridad de la información, deben cumplir con los requisitos de la legislación de la Federación de Rusia sobre reglamentación técnica.
Regulación estatal de las relaciones en el campo de la información. La protección se lleva a cabo estableciendo requisitos sobre protección de la información, así como responsabilidad por la violación de la legislación de la Federación de Rusia sobre información, tecnología de la información y protección de la información.

Los requisitos para la protección de la información contenida en los sistemas de información estatales son establecidos por el órgano ejecutivo federal en el campo de la seguridad (FSB de Rusia) y el órgano ejecutivo federal autorizado en el campo de la lucha contra la inteligencia técnica y la protección técnica de la información (FSTEC de Rusia). ), dentro de los límites de sus competencias. Al crear y operar sistemas de información estatales, los métodos y métodos utilizados para proteger la información deben cumplir con los requisitos especificados. Al mismo tiempo, la protección de la información que constituye un secreto de estado se lleva a cabo de conformidad con la legislación de la Federación de Rusia sobre secretos de estado.

De acuerdo con la Ley Federal «Sobre Secretos de Estado», los medios de seguridad de la información deben contar con un certificado que acredite el cumplimiento de los requisitos para la protección de la información del grado de secreto correspondiente. La organización de la certificación de los medios de seguridad de la información está encomendada al órgano ejecutivo federal autorizado en el ámbito de la lucha contra la inteligencia técnica y la protección técnica de la información, al órgano ejecutivo federal autorizado en el ámbito de la seguridad y al órgano ejecutivo federal autorizado en el ámbito de defensa, de conformidad con las funciones que les impone la legislación de la Federación de Rusia. La certificación se lleva a cabo sobre la base de los requisitos de las normas estatales de la Federación de Rusia y otros documentos reglamentarios aprobados por el Gobierno de la Federación de Rusia.

A pesar de la evidente necesidad de utilizar únicamente herramientas certificadas de seguridad de la información (ISIS), intentaremos estudiar el problema del uso de la criptografía en la seguridad de la información. El 3 de abril de 1995, No. 334, el Decreto del Presidente de la Federación de Rusia «Sobre medidas para cumplir con la ley en el campo del desarrollo, producción, venta y operación de herramientas de cifrado, así como la prestación de servicios en Se firmó el campo del cifrado de información”. El mencionado Decreto del Presidente de la Federación de Rusia estableció las siguientes normas y medidas:

  • prohibir el uso por parte de organizaciones y empresas estatales en sistemas de información y telecomunicaciones de herramientas de cifrado, incluidos medios criptográficos para garantizar la autenticidad de la información (firma electrónica), y medios técnicos seguros para almacenar, procesar y transmitir información que no tengan un certificado del Agencia Federal de Comunicaciones e Información Gubernamentales dependiente del Presidente de la Federación de Rusia, así como realizar pedidos gubernamentales a empresas y organizaciones que utilizan los medios técnicos y de cifrado especificados y que no tienen un certificado de la Agencia Federal de Comunicaciones e Información Gubernamentales dependiente del Presidente de la Federación de Rusia. la Federación de Rusia;
  • prohibir las actividades de personas jurídicas y personas físicas relacionadas con el desarrollo, producción, venta y operación de herramientas de cifrado, así como medios técnicos seguros para almacenar, procesar y transmitir información, proporcionando servicios en el campo del cifrado de información sin licencias emitidas por la Federación. Agencia de Comunicaciones e Información Gubernamentales dependiente del Presidente de la Federación de Rusia de conformidad con la Ley de la Federación de Rusia «Sobre Organismos Federales de Comunicaciones e Información Gubernamentales».

Además, con el fin de implementar los requisitos del Decreto, se prescribió:

  1. El Comité Estatal de Aduanas de la Federación de Rusia tomará medidas para evitar la importación al territorio de la Federación de Rusia de herramientas de cifrado fabricadas en el extranjero sin una licencia del Ministerio de Relaciones Económicas Exteriores de la Federación de Rusia, expedida de acuerdo con la Agencia Federal de Comunicaciones e Información Gubernamentales bajo la presidencia de la Federación de Rusia;
  2. El Servicio Federal de Contrainteligencia de la Federación de Rusia y el Ministerio del Interior de la Federación de Rusia, junto con la Agencia Federal de Comunicaciones e Información Gubernamentales dependiente del Presidente de la Federación de Rusia, el Ministerio de Impuestos y Derechos de la Federación de Rusia y el Ministerio de Impuestos El Departamento de Policía de la Federación de Rusia identificará a las personas jurídicas y a las personas físicas que violen estos requisitos;
  3. La Fiscalía General de la Federación de Rusia fortalecerá la supervisión fiscal sobre el cumplimiento de la Ley de la Federación de Rusia «Sobre los órganos federales de comunicaciones e información del gobierno» en términos del desarrollo, producción, venta y operación de herramientas de cifrado, así como la prestación de servicios en el campo del cifrado de información en la Federación de Rusia, sujeto a licencia y certificación por parte de la Agencia Federal de Comunicaciones e Información Gubernamentales dependiente del Presidente de la Federación de Rusia.

Para finalizar la discusión sobre el objeto de protección, definamos qué se entiende por el término “medio criptográfico”. Así, el “Reglamento sobre concesión de licencias para actividades de distribución de medios de cifrado (criptográficos)”, aprobado por el Gobierno de la Federación de Rusia mediante Decreto de 23 de septiembre de 2002 No. 691 “Sobre la aprobación de disposiciones sobre concesión de licencias para ciertos tipos de actividades relacionadas a cifrado (criptográfico) significa”, a cifrado (criptográfico) significa:

a) cifrado significa — herramientas, sistemas y complejos de hardware, software y hardware-software que implementan algoritmos para la transformación criptográfica de información y están destinados a proteger la información durante la transmisión a través de canales de comunicación y (o) proteger la información del acceso no autorizado durante su procesamiento y almacenamiento;

b) medios de protección de la imitación — herramientas, sistemas y complejos de hardware, software y hardware-software que implementan algoritmos para la transformación criptográfica de información y están diseñados para proteger contra la imposición de información falsa;

c) medios de firma digital electrónica — herramientas de hardware, software y hardware-software que permiten, basándose en transformaciones criptográficas, la implementación de al menos una de las siguientes funciones: creación de una firma digital electrónica (EDS) mediante una clave privada, confirmación de la autenticidad de una EDS mediante una clave pública, creación de claves EDS públicas y privadas;

d) herramientas de codificación — herramientas que implementan algoritmos para la transformación criptográfica de información realizando parte de la transformación mediante operaciones manuales o utilizando medios automatizados basados ​​en dichas operaciones;

e) medios para producir documentos clave (independientemente del tipo de soporte de información clave);

e) documentos clave (independientemente del tipo de soporte de información clave).

Para mayor claridad, nos centraremos en un ejemplo simple, que debería ilustrar la comprensión del problema emergente de construir una protección legítima de la información. Si proyectas ortogonalmente un vaso tridimensional que se encuentra sobre una mesa en un plano bidimensional, obtienes un círculo. El mismo vidrio, proyectado desde un lado, se verá como un rectángulo en un plano bidimensional. Pero nadie argumentará que el vaso consta de un círculo y un rectángulo. Del mismo modo, no podemos afirmar que se pueda utilizar cualquier medio de protección criptográfica en el territorio de la Federación Rusa. La imagen de mediciones y proyecciones nos permite hablar simultáneamente, por un lado, de la integridad y unidad de la construcción de la protección de la información técnica, y por otro lado, de las diferencias en la relación entre la propuesta técnica y la legislación actual. que rige esta rama del derecho.

El enfoque anterior (ontología dimensional) fue utilizado por primera vez por V. Franki en psicología para describir la forma de percibir contradicciones obvias. Utilizando el enfoque propuesto, describiremos el marco legislativo (una de las proyecciones) que regula los derechos y responsabilidades de las autoridades ejecutivas en el campo de la criptografía.

I. Consideremos el marco legislativo sobre los poderes del FSB de Rusia. La Ley Federal «Sobre el Servicio Federal de Seguridad» determina las actividades del FSB de Rusia en las siguientes áreas principales:

  • actividades de contrainteligencia;
  • lucha contra el terrorismo;
  • luchar contra la delincuencia;
  • actividades de inteligencia;
  • actividades fronterizas;
  • garantizar la seguridad de la información.

Al mismo tiempo, garantizar la seguridad de la información por parte del Servicio Federal de Seguridad se lleva a cabo cuando:

  • la formación e implementación de políticas estatales y científicas y técnicas en el campo de garantizar la seguridad de la información, incluido el uso de medios de ingeniería, técnicos y criptográficos;
  • garantizar la seguridad de los sistemas de información y telecomunicaciones utilizando métodos criptográficos y de ingeniería , así como sistemas de comunicación especiales cifrados, clasificados y de otro tipo en la Federación de Rusia y sus instituciones ubicadas fuera de la Federación de Rusia.

Es decir, hoy el FSB de Rusia, dentro de su competencia, lleva a cabo las siguientes funciones:

  • crea un sistema de certificación y establece reglas para la certificación de herramientas de seguridad de la información de acuerdo con los requisitos de seguridad de la información que constituye el estado. secretos (en adelante &#8212 ; SZI-GT);
  • presenta el sistema de certificación SZI-GT y sus marcas de conformidad para el registro estatal según la Norma Estatal de Rusia (FATRM);
  • organiza el funcionamiento del sistema de certificación;
  • determina la nomenclatura de SZI-GT sujeto a certificación obligatoria en este sistema;
  • lleva a cabo el procedimiento para reconocer documentos regulatorios y metodológicos de organizaciones de terceros;
  • aprueba los documentos regulatorios para cumplimiento del cual se lleva a cabo la certificación de SZI-GT en el sistema de certificación, y documentos metodológicos para realizar pruebas de certificación;
  • establece reglas para el reconocimiento de certificados extranjeros, marcas de conformidad y resultados de pruebas;
  • mantiene un registro estatal de herramientas de seguridad de la información certificadas, organismos de certificación y centros de pruebas (laboratorios) acreditados en el sistema de certificación SZI-GT, otros participantes en la certificación, así como certificados de conformidad emitidos y revocados y licencias para usar la marca de conformidad;
  • mantiene registros de los documentos reglamentarios que contienen reglas, requisitos y directrices para la certificación.

De conformidad con la Ley antes mencionada, el FSB de Rusia emitió la Orden No. 564 del 13 de noviembre de 1999 «Sobre la aprobación de las disposiciones sobre el sistema de certificación de los medios de seguridad de la información de acuerdo con los requisitos de seguridad para la información que constituye secretos de estado y sobre sus marcas de conformidad». .” La Orden mencionada del FSB de Rusia estableció los principios básicos, la estructura organizativa del sistema de certificación obligatoria de los medios de seguridad de la información de acuerdo con los requisitos de seguridad para la información que constituye un secreto de estado, el procedimiento para la certificación de estos medios, el procedimiento para registrar los medios certificados. , así como el procedimiento para realizar el control de inspección de los medios certificados.

Entonces, de acuerdo con la cláusula 1.3 de la Orden, los objetivos de la creación de un sistema de certificación son:

  • implementación de los requisitos del artículo 28 de la Ley de Rusia Federación “Sobre los Secretos de Estado”;
  • garantizar la seguridad nacional en el ámbito de la informatización;
  • formación e implementación de una política científica, técnica e industrial unificada en el campo de la informatización, teniendo en cuenta los requisitos del sistema de protección de los secretos de estado;
    promover la formación de un mercado para tecnologías de la información seguras y los medios para apoyarlas;
  • regulación y control del desarrollo, así como de la posterior producción de SZI-GT;
  • ayudar a los consumidores en la elección competente de los medios de seguridad de la información;
  • proteger a los consumidores de la deshonestidad del fabricante (vendedor, ejecutante);
  • Confirmación de los indicadores de calidad del producto declarados por los fabricantes.

Además, la Orden No. 564 de 13 de noviembre de 1999 determinó los tipos de herramientas de protección de la información que están sujetas a certificación en el sistema de certificación SZI-GT:

  • herramientas de software de protección de la información contra acceso no autorizado a datos y marcadores de software;
  • programas que proporcionan restricción de acceso a la información;
  • programas para la identificación y autenticación de terminales y usuarios basados ​​en diversos criterios (contraseña, palabra de código adicional, datos biométricos, etc. .), incluidos programas para aumentar la confiabilidad de la identificación (autenticación) );
  • programas para verificar el funcionamiento del sistema de seguridad de la información y monitorear la integridad de los medios de protección contra el acceso no autorizado;
  • programas de protección para diversos fines auxiliares, incluidos programas antivirus;
  • programas para proteger sistemas operativos de PC (interpretación de software modular, etc.);
  • programas para monitorear la integridad del software de aplicación y de todo el sistema;
  • programas que señalan violaciones del uso de recursos;
  • programas para destruir información residual en dispositivos de almacenamiento (RAM, memoria de video, etc.) después de completar su uso;
  • programas para monitorear y restaurar la estructura de archivos de datos;
  • programas para simular el funcionamiento del sistema o bloquearlo cuando se detecten casos de acceso no autorizado;
  • programas para determinar hechos de incumplimiento y señalar (transmitir mensajes) sobre su detección.

II. Consideremos el marco legislativo en cuanto a los poderes del FSTEC de Rusia. De conformidad con el Reglamento «Sobre el Servicio Federal de Control Técnico y de Exportaciones», aprobado por Decreto del Presidente de la Federación de Rusia de 16 de agosto de 2004 No. 1085, el Servicio Federal de Control Técnico y de Exportaciones es un órgano ejecutivo federal que implementa la política estatal, organiza la coordinación e interacción interdepartamental, funciones especiales y de control en el campo de la seguridad del Estado en los siguientes temas:

  1. garantizar la seguridad de la información (métodos no criptográficos) en los sistemas de infraestructura de información y telecomunicaciones que tienen un impacto significativo en la seguridad del Estado en la esfera de la información, incluidos aquellos que operan como parte de objetos de importancia crítica de la Federación de Rusia, en su información sistemas y redes de telecomunicaciones en los que la exposición destructiva a la información puede tener importantes consecuencias negativas (modificada por el Decreto del Presidente de la Federación de Rusia del 30 de noviembre de 2006 No. 1321);
  2. contrarrestar la inteligencia técnica extranjera en el territorio de la Federación de Rusia;
  3. garantizar la protección (mediante métodos no criptográficos) de la información que contiene información que constituye secretos de estado, otra información con acceso limitado, evitando su filtración a través de canales técnicos, acceso no autorizado a la misma, influencias especiales sobre la información (medios de información) con el fin de obtenerla, destruir, distorsionar y bloquear el acceso a él en el territorio de la Federación de Rusia (en adelante, protección técnica de la información).

Así, teniendo en cuenta lo anterior y guiado por el Decreto del Gobierno de la Federación de Rusia de 26 de junio de 1995 No. 608 «Sobre la certificación de medios de seguridad de la información» en términos del cumplimiento del requisito de certificación obligatoria de medios técnicos, criptográficos, software y otros medios destinados a proteger la información que constituye un secreto de estado, así como los medios en los que se implementan, resulta obvio que la certificación de los productos técnicos de los sistemas de seguridad de la información en su conjunto debe ser realizada por el FSB o FSTEC de Rusia en los siguientes casos:

  • uso de medios criptográficos de protección — FSB de Rusia;
  • protección por medios no criptográficos — FSTEC de Rusia.

A pesar de toda la obviedad, como se señala en [2], la cuestión de las conexiones y relaciones lógicas en el sistema de normas jurídicas, el mecanismo lógico de su acción no debe confundirse con la cuestión de las conexiones y relaciones lógicas en la estructura de un documento separado. norma. La interdependencia lógica de las normas jurídicas en los distintos niveles de su funcionamiento sustantivo, sus diversas conexiones y relaciones lógicas (tanto industriales como interindustriales) — parámetro lógico universal del sistema regulatorio. Cada norma jurídica — un determinado eslabón en la cadena regulatoria general de la legislación vigente. En el proceso de funcionamiento, está lógicamente conectado con todo un arsenal de otras normas jurídicas y se realiza plenamente sólo en el marco de una formación jurídica integral (de una u otra institución, de una u otra industria, de todo el sistema jurídico).

Desde un punto de vista motivacional, es importante si el legislador responde a la pregunta: ¿por qué, digamos, “permitido” y no “obligatorio” o “prohibido”? O, por el contrario; ¿Por qué está “prohibido” y no “permitido”? ¿Por qué es esto y no de otra manera? No basta que el ejecutor de una norma jurídica sepa “qué” y “cómo”. Debe saber «por qué» y «por qué», de lo contrario las funciones regulatorias de una norma jurídica, como cualquier otra norma social, perderán su significado. La humanidad no puede vivir sin preguntarse “¿por qué?” y «¿por qué?» y una u otra respuesta les responde, guiada en su comportamiento por normas sociales formuladas según el principio: “¡así debe ser!”, “¡Que así sea!” [3]. Bueno, ¿y si en realidad “esto no es necesario”, “tan dañino, injusto”? ¿Es posible tal paradoja lógica, cuando lo que no es necesario funciona como un deber, una obligación? ¿Pueden existir y funcionar en la legislación normas y fórmulas ficticias, falsas y ficticias?

Cualquier juicio jurídico normativo en todo su alcance lógico expresa el pensamiento: a tal o cual destinatario se le prescribe tal o cual comportamiento con tal o cual modo de normatividad, porque existe tal o cual necesidad objetiva (necesidad objetiva). Es este “porque” el que determina la elección de comportamiento por parte del sujeto de las relaciones jurídicas, lo que nos permite hablar de la veracidad de las prescripciones normativas. El principio más importante que determina el funcionamiento de la normatividad jurídica en su nivel lógico-semántico — proporcionalidad deóntica, que surge objetivamente de todo el conjunto de conexiones y relaciones sociales y sus necesidades normativas. Desde la antigüedad, los modos deónticos universales de la normatividad jurídica, como cualquier otro, han sido “permitidos”, “exigidos” y “prohibidos” [4].

Analicemos esta situación en términos de la práctica actual de realizar actividades de certificación de herramientas de seguridad de la información contra accesos no autorizados. Documento guía (RD) “Sistemas automatizados. Protección contra el acceso no autorizado a la información. Clasificación de sistemas automatizados y requisitos para la protección de la información”, aprobada por Decisión del Presidente de la Comisión Técnica Estatal del Presidente de la Federación de Rusia de fecha 30 de marzo de 1992, estableció que, en el caso general, un conjunto de herramientas de software y hardware y las soluciones organizativas (de procedimiento) para proteger la información contra el acceso no autorizado se implementan en el marco del sistema de protección de información de NSD (SZI NSD), que consta condicionalmente de los siguientes cuatro subsistemas:

  • control de acceso;
  • registro y contabilidad;
  • criptográfico;
  • garantizar la integridad.

Dependiendo de la clase de sistemas automatizados, el subsistema criptográfico debe implementarse en la medida indicada en la Tabla. 1, sólo para las clases 2A, IB, 1A.

En general, los requisitos para el subsistema criptográfico se formulan de la siguiente manera:

  • Se deberá realizar el cifrado de toda la información confidencial registrada en soportes de datos compartidos utilizados por los distintos sujetos de acceso, así como en soportes de datos extraíbles (disquetes, microcassettes, etc.) de memoria externa de larga duración para su almacenamiento fuera de las sesiones de trabajo de centros autorizados. acceder a las materias. En este caso, las áreas de la memoria externa que contenían información previamente no cifrada deben liberarse y borrarse automáticamente;
  • el acceso del sujeto a las operaciones de cifrado y a las claves criptográficas debe ser controlado adicionalmente por el subsistema de control de acceso;
  • se deben utilizar herramientas de protección criptográfica certificadas. Su certificación la llevan a cabo centros de certificación especiales o empresas especializadas autorizadas para realizar la certificación de medidas de seguridad criptográfica.

Expliquemos la situación con ejemplos. Como primer ejemplo, consideremos el sistema «Guardian NT» para proteger la información del acceso no autorizado. El sistema «Guardian NT» (versión 2.5) es un complejo de software y hardware especializado diseñado para garantizar la seguridad de la información en sistemas automatizados basados ​​​​en computadoras personales.

ISIS «Guardian NT» se puede utilizar en el desarrollo de sistemas de seguridad de la información para sistemas automatizados hasta las clases de seguridad ZA, 2A y 1B inclusive (Tabla 1) de acuerdo con los requisitos del documento rector de la Comisión Técnica Estatal de Rusia «Automated sistemas. Protección contra el acceso no autorizado a la información. Clasificación de sistemas automatizados y requisitos para la protección de la información.” «Guardian NT» se puede instalar en computadoras monoprocesador y multiprocesador construidas en la plataforma Intel i386, en el entorno de los sistemas operativos Microsoft Windows NT 4.0, Windows 2000, Windows XP y Windows 2003. «Guardian NT» no contiene un sistema criptográfico subsistema.

De conformidad con el Decreto del Gobierno de la Federación de Rusia del 26 de junio de 1995 No. 608 «Sobre la certificación de medios de seguridad de la información» para el sistema de seguridad de la información «Guardian NT» (versión 2.5), FSTEC de la Federación de Rusia emitió un certificado de conformidad No. 1260. El certificado certifica que “el sistema para proteger la información contra el acceso no autorizado del sistema de seguridad de la información” Guardian NT» (versión 2.5)… es un medio para proteger la información y cumple con los requisitos de los documentos que rigen “Instalaciones informáticas. Protección contra el acceso no autorizado a la información. Indicadores de seguridad contra el acceso no autorizado a la información» (Comisión Técnica Estatal de Rusia, 1992) — según la clase de seguridad 3 y “Protección contra el acceso no autorizado a la información. Parte 1. | Software de seguridad de la información. Clasificación según el nivel de control sobre la ausencia de capacidades no declaradas» (Comisión Técnica Estatal de Rusia, 1999) — según el 2º nivel de control.» Se sabe que la tercera clase de seguridad en combinación con el segundo nivel de control corresponde a la clasificación del documento guía “Sistemas automatizados. Protección contra el acceso no autorizado a la información. Clasificación de sistemas automatizados y requisitos para la protección de la información” en el nivel 1B inclusive [5]. Segundo ejemplo — Red secreta 5.0. Este es un complejo de software y hardware que brinda protección para servidores, estaciones de trabajo y PC móviles que ejecutan los sistemas operativos Windows 2000, Windows XP y Windows 2003.

Tabla 1

Requisitos para el subsistema criptográfico

Добавить комментарий

5 × 4 =

Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
Принять