ГОСТ Р ИСО/МЭК ТО 13335-4-2007 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер
8.2 Специальные защитные меры систем ИТ
Источники дополнительной информации по упомянутым категориям защитных мер приведены в таблицах 8.2.1-8.2.5.
Таблица 8.2.1 - Идентификация и аутентификация
Категории защитных мер | Источники дополнительной информации о категориях защитных мер | |||||||
Разделы и пункты [1] | Разделы и пункты [3] | Разделы и пункты [4] | Разделы и пункты [5] | Разделы и пункты [6] | Разделы и пункты [7] | Разделы и пункты [8] | Разделы и пункты [9] | |
1 ИА на основе некоторой информации, известной пользователю | 9.2.3, 9.3.1, 9.4, 9.5.1 | 4.2.1, 5.2.1, приложе- | М4 | 16.1 | 6.3.2.1, 7.3.2.1, 8.3.2.1, 9.3.2.1, 10.3.2.1, 11.3.2.1 | 7.2.1, 7.2.2 | 6.2 | 16.1 |
2 Идентификация и аутентификация на основе того, чем владеет пользователь | - | 16.2 | 6.3.2.1, 7.3.2.1, 8.3.2.1, 9.3.2.1, 10.3.2.1, 11.3.2.1 | 6.2 | 16.2 | |||
3 Идентификация и аутентификация на основе использования биометрических характеристик пользователя | - | 16.3 | 6.3.2.1, 7.3.2.1, 8.3.2.1, 9.3.2.1, 10.3.2.1, 11.3.2.1 | 6.2 | 16.3 | |||
Таблица 8.2.2 - Логическое управление и аудит доступа
Категории защитных мер | Иcточники дополнительной информации о категориях защитных мер | |||||||
Разделы и пункты [1] | Разделы и пункты [3] | Разделы и пункты [4] | Разделы и пункты [5] | Разделы и пункты [6] | Разделы и пункты [7] | Разделы и пункты [8] | Разделы | |
1 Политика управления доступом | 9.1 | - | М2 | 17.1, 17.2, 17.3 | 6.3.2.1, 7.3.2.1, 8.3.2.1, 9.3.2.1, 10.3.2.1, 11.3.2.1 | 7.2, 8.1.2, 8.2.2, 8.4.1 | 6.4 | 17.1, 17.2, 17.3 |
2 Управление доступом пользователя к ЭВМ | 9.2, 9.3, 9.5 | 4.2.4, 5.2.4, приложе- | М4 | 6.3.2.1, 7.3.2.1, 8.3.2.1, 9.3.2.1, 10.3.2.1, 11.3.2.1 | 6.2, 3.3 | |||
3 Управление доступом пользователя к данным, услугам и приложениям | 9.4, 9.6 | М4 | 6.3.2.1, 7.3.2.1, 8.3.2.1, 9.3.2.1, 10.3.2.1, 11.3.2.1 | 6.4 | ||||
4 Анализ и актуализация прав доступа | 9.1, 9.2.4 | - | М2 | 17.4 | 6.3.2.1, 7.3.2.1, 8.3.2.1, 9.3.2.1, 10.3.2.1, 11.3.2.1 | - | 17.4 | |
5 Контрольные журналы | 9.7 | - | М4 | 18 | 6.3.2.2, 7.3.2.2, 8.3.2.2, 9.3.2.2, 10.3.2.2, 11.3.2.2 | 7.3, 8.2.10 | 6.7 | 18 |
Таблица 8.2.3 - Защита от злонамеренных кодов
Категории защитных мер | Источники дополнительной информации о категориях защитных мер | |||||||
Разделы и пункты [1] | Разделы и пункты [3] | Разделы и пункты [4] | Разделы и пункты [5] | Разделы и пункты [6] | Разделы и пункты [7] | Разделы и пункты [8] | Разделы и пункты [9] | |
1 Сканеры | 8.3 | - | М4 | - | 6.3.10, 7.3.10, 8.3.10, 9.3.10, 10.3.10, 11.3.10 | 8.3.11, 8.3.16 | 7.4 | 4.6, 5.2.1, 6.4, 8.4.4, 11 |
2 Проверки целостности | 8.3 | - | М4 | - | - | 8.3.11, 8.3.16 | 7.4 | - |
3 Управление обращением съемных носителей | 7.3.2 | - | - | - | - | - | - | - |
4 Процедуры организации по защитным мерам | 8.3 | - | М4 | - | 6.3.10, 7.3.10, 8.3.10, 9.3.10, 10.3.10, 11.3.10 | 8.3.11, 8.3.16 | 7.4 | 6.2.2, 9.3, 12, 14.2 |
Таблица 8.2.4 - Управление сетью
Категории защитных мер | Источники дополнительной информации о категориях защитных мер | |||||||
Разделы и пункты [1] | Разделы и пункты [3] | Разделы и пункты [4] | Разделы и пункты [5] | Разделы и пункты [6] | Разделы и пункты [7] | Разделы и пункты [8] | Разделы и пункты [9] | |
1 Операционные процедуры | 8.5.1 | - | М2 | - | - | 8.2, 8.3 | 8.2 | 14.6 |
2 Системное планирование | 8.2 | - | М2, М4 | 8.4 | - | 6.1 | 8.4 | |
3 Конфигурация сети | - | - | М4 | - | - | 9, 6.1 | 14.3 | |
4 Разделение сетей | 9.4.6 | - | М2 | - | - | - | 3.1 | - |
5 Мониторинг сети | 9.7 | - | М2 | 18.1.3 | - | 8.2.7 | - | 18.1.3 |
6 Обнаружение вторжения | - | - | - | 18.1.3 | - | - | 6 | 18.1.3 |
Таблица 8.2.5 - Криптография
Категории защитных мер | Источники дополнительной информации о категориях защитных мер | |||||||
Разделы и пункты [1] | Разделы и пункты [3] | Разделы и пункты [4] | Разделы и пункты [5] | Разделы и пункты [6] | Разделы и пункты [7] | Разделы и пункты [8] | Разделы и пункты [9] | |
1 Защита конфиденци- альности данных | 10.3.2 | 4.2.2, 5.2.2, | М4 | 19.5.1 | - | 8.23 | 8.1 | 19.5.1 |
2 Защита целостности данных | 10.3 3 | 4.2.3, 5.2.3, прило- | М4 | 19.5.2 | - | 8.23 | 8.1 | 19.5.2 |
3 Неотказуемость | 10.3.4 | 4.2.6. 5.2.6, прило- | - | 19.5.3 | - | 8.23 | 8.1 | 19.2.3 |
4 Аутентичность данных | 10.3.2 | 4.2.3, 5.2.3, прило- | М4 | 19.5.2 | - | 8.23 | 8.1 | 19.5.2 |
5 Управление ключами | 10.3.5 | 4.2.5, 5.2.5, прило- | - | 19.3 | - | 8.23 | 8.1 | 19.3 |
8.2.1 Идентификация и аутентификация
Идентификация является средством, с помощью которого пользователь представляет заявленный идентификатор в систему. Аутентификация является средством валидации действительности этого заявления. Ниже приведены примеры достижения идентификации и аутентификации (ИА) (существуют также другие классификации ИА):
1 Идентификация и аутентификация на основе некоторой информации, известной пользователю
Наиболее типичным способом идентификации и аутентификации является назначение паролей. Пароль - это отличительная характеристика, связанная с процессом распознавания, и представляющая собой некоторую информацию, которая может быть доступна только пользователю. Организация должна управлять распределением и периодической сменой паролей. Если пользователи сами выбирают пароли, то они должны быть осведомлены об общих правилах назначения и обращения с паролями. Для поддержки паролей можно применять программное обеспечение, например, организация может ограничить использование обычных паролей или рисунков и символов. При необходимости организация может создавать копии паролей, которые должны надежно сохраняться. Доступ к копиям паролей пользователей, не имеющих или забывших пароль, должен быть регламентирован. Идентификация и аутентификация на основе некоторой информации, известной пользователю, может использовать способы криптографии и протоколы распознавания. Этот тип распознавания и подтверждения может также применяться для дистанционной идентификации и аутентификации.
2 Идентификация и аутентификация на основе того, чем владеет пользователь
Для целей идентификации и аутентификации могут использоваться некоторые объекты, которыми владеет пользователь, например это могут быть карточки (жетоны) с запоминающим устройством (ЗУ) или микропроцессором. Общепринятое применение имеют кредитные карточки с магнитным запоминающим устройством на обратной стороне. Аутентификация обеспечивается на основе комбинации двух факторов: фактора обладания пользователем неким объектом (например, карточкой, смарт-картой) и фактора знания пользователем некоторой информации (персонального идентификационного номера - PIN кода). Типичным примером является карточка с микропроцессором.
3 Идентификация и аутентификация на основе использования биометрических характеристик пользователя