Руководящие документы ФСТЭК.

Руководящие документы:
1) средства вычислительной техники. Защита от несанкционированного доступа. Показатели защищенности. 
2) автоматизированные системы. Защита от несанкционированного доступа. Показатели защищенности. 
3) межсетевые экраны. Средства вычислительной техники. Показатели защищенности. 
4) средства вычислительной техники и автоматизированные системы. Программное обеспечение средств защиты информации. 
5) концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа. 

В концепции содержится:
1) модель нарушителя. 

Нарушитель — человек, имеющий доступ к системе, способный:
А) запускать программные средства из определенного набора (согласно его правам доступа); 
Б) пользователь, который может запускать процессы в обход средств защиты; 
В) способный модифицировать компоненты автоматизированной системы, управлять ее функционированием; 
Г) занимающийся проектированием автоматизированных систем. 

2) Основные способы несанкционированного доступа:
1) запуск программ пользователя
2) запуск программ в обход защиты
3) модификация средств защиты автоматизированной системы
4) внедрение программных или технических механизмов, нарушающих структуру автоматизированной системы и систем вычислительной техники. 

3) Основные принципы защиты от несанкционированного доступа:
1) работа в соответствии с принципами, законами, требованиями, стандартов и иных нормативных документов
2) использование программно-технических средств
3) использование программно-технических средств с использованием организационных мер
4) планирование методов защиты информации на всех этапах работы с автоматизированной системой
5) защита информации не должна влиять на надежность, быстродействие, возможности конфигурирования автоматизированной системы
6) оценки контроля эффективности средств защиты. 

4) Согласно концепции защита обеспечивается средствами разграничения доступа (СРД). 

Защита автоматизированной системы — Защита устройств + защита информационных потоков. 

Система вычислительной техники делятся на семь классов, автоматизированная система — на девять классов. 

Разграничение доступа: 
1) мандатные — все объекты распределяются по уровням секретности. Каждый субъект может записывать или читать информацию с того уровня, над которым преобладает. 
2) дискретные — создается матрица доступа. 
3) ролевой (в стандартах не упоминается) — вводится понятие роли — абстрактная сущность, которой соответствуют определенные права доступа. Обычно роли прикрепляют к должностям. Один пользователь может играть несколько ролей. 
4) верифицированный — проверенный, доступ подтверждается сторонними организациями, работающих в сфере безопасности. 

Классификация автоматизированных систем (из документа "Автоматизированные системы. Защита от несанкционированного доступа. Показатели защищенности."). 
Различают девять классов, которые делят на три группы. Первая группа включает два класса — 3А и 3Б. Вторая группа — 2А и 2Б. Третья группа — 1А, 1Б, 1В, 1Г, 1Д. Классы 3А и 3Б содержат автоматизированные системы, которые являются однопользовательскими. 
Вторая группа — многопользовательские с равным доступом. Третья группа — многопользоватильские с разграничением доступа. 
Буква А в 3А и 2А означает, что автоматизированная система содержит конфиденциальную информацию. Д — данные для служебного пользования. Г — персональные данные. В — может содержать секретные сведения. Б — с грифом совершенно секретно. А — особой важности. 

Перечень мероприятий, используемых при защите:
1) регистрация и учет пользователей
2) идентификация, проверка подлинности, контроль доступа
3) управление потоками информации
4) учет носителей информации
5) очистка памяти
6) сигнализация попыток нарушения защиты
7) шифрование конфиденциальной информации
8) шифрование данных пользователей
9) использование сертифицированных средств криптографической защиты
10) обеспечение целостности системы
11) физическая защита
12) наличие администратора службы защиты информации
13) наличие средств восстановления
14) периодические проверки
15) использование сертифицированных средств защиты информации.