Так Вы же уже "классифицировали" КС1 и КС2 - ??
=Цитата=
- Как я понимаю, основное различие для пользователя СКЗИ в этих классах состоит в том, что в модели нарушителя по КС1 используется только внешний нарушитель, а в КС2 еще и внутренний, не являющийся легитимным пользователем (типа уборщица). Уверен, что поэтому при КС2 необходим электронный замок или тотальное опечатывание всех разъёмов, а при КС1 - не надо.
== конец цитаты ==
==================================================================================
Требования к уровню защиты информации КС2 содержат требования к уровню КС1 плюс дополнительные
требования.Уровень защиты информации определяется потенциальными возможностями нарушителя, в соответсвии с базовой моделью нарушителя, разработанной ФАПСИ. Вкратце - для уровня КС1 предполагается, что имеем случайного внешнего нарушителя который может перхватывать информацию в каналах связи - следовательно достаточные требования - математическая стойкость, корректности реализации и качество ключей.
Уровень КС2 - неавторизованный внутренний нарушитель - следовательно достаточные дополнительные требования - рзаграничение доступа к СКЗИ, ну там есть еще кое-чего. это влечет за собой наличие в системе сертифицированного ФАПСИ/ФСБ электронного замка, его основная задача - идентфикация и аутентфикация пользователя, проверка целостности, доверенная загрузка. Дополнительно - качественный аппаратный датчик случайных чисел и интерфейс к носителью ключевой информации.
== цитата ==
Сертифицируемые изделия классифицируются в зависимости от вида информации, для
защиты которой они предназначены. От этого зависит и стоимость сертификационных испытаний.
Требования ФАПСИ к шифровальным средствам базируются на принятой у нас модели нарушителя. В зависимости от допущений о его возможностях (хакер, фирма-профессионал, иностранная спец. служба) и категории защищаемой информации и выбирается соответствующий класс и подкласс, по которому будет производится сертификация.
== конец цитаты ==
== цитата ===
Насколько я понимаю, существуют различные задачи, подпадающие под разные классы защищенности. В зависимости от класса защищенности выбирается СКЗИ.
КС1 - это класс, самый нижний, обеспечивающий просто ТЕОРЕТИЧЕСКУЮ стойкость алгоритма и правильность реализации.
КС2 - следующий за ним класс, обеспечивает ПРАКТИЧЕСКУЮ стойкость шифра в условиях использования неквалифицированного персонала.
КС3 - это еще и стойкость от атак авторизованного пользователя системы. Каждый следующий класс, естественно, включает предыдущий. Обычно на практике вполне достаточно КС2 для любых задач прикладного уровня.
== конец цитаты ==
== цитата ==
Если говорить коротко, то эти классы различаются стойкостью защиты от различных нарушителей: КС1 - внешний нарушитель; КС2 - внутренний незарегистрированный нарушитель; КС3 - внутренний зарегистрированный нарушитель.
== конец цитаты ==
======================================================
П Р О К О М М Е Н Т И Р У Й Т Е, ЕСЛИ ВОЗМОЖНО.
======================================================
Что возьмём за основу?
======================================================
ГОСТ Р 51275-2006
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
ЗАЩИТА ИНФОРМАЦИИ
ОБЪЕКТ ИНФОРМАТИЗАЦИИ.
ФАКТОРЫ, ВОЗДЕЙСТВУЮЩИЕ НА ИНФОРМАЦИЮ
ОБЩИЕ ПОЛОЖЕНИЯ
PROTECTION OF INFORMATION. OBJECT OF INFORMATISATION.
FACTORS INFLUENCING THE INFORMATION. GENERAL
==================================================================
1. IEEE Std 610.12-1990. IEEE Standard Glossary of Software Engineering Terminology.
2. ГОСТ Р ИСО МЭК 12207-99. Информационные технологии. Процессы жизненного цикла программного обеспечения.
3. IEEE 1074. Жизненный цикл разработки программных средств.
4. ИСО/ТО 10006:1997 (R). Менеджмент качества. Руководство качеством при административном управлении проектами.
5. ISO 15846, ISO 10007. Стандарты по менеджменту конфигурации программных средств.
6. ISO 9000 - 2000; группы ГОСТ Р 9000х.
7. ISO/IEC TR 15504. Оценка процессов жизненного цикла ПО (Information technology - Software process assessment).
В части порядка разработки и документирования ИС и ПО
8. ГОСТ 34.ххх. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы.
9. ГОСТ 19.ххх. Единая система программной документации.
10. IEEE 1063-1987. Standard for Software User Documentation.
11. IEEE 830-1994. Рекомендуемая практика формирования спецификаций программного обеспечения.
12. IEEE 829. Планирование тестирования программных средств.
13. DoD STD 2167A. Разработка программного обеспечения оборонных систем.
В части качества программных средств
14. ГОСТ 28806. Качество программных средств. Термины и определения.
15. ГОСТ 28195. Оценка качества программных средств. Общие положения.
16. ГОСТ 9126. Информационная технология. Оценка программного продукта. Характеристики качества и руководящие указания по их применению.
?
Отредактировано пользователем 25 марта 2009 г. 16:53:59(UTC)
| Причина: Не указана
