Российский стандарт гост р50739 95



Российский стандарт гост р50739 95

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Средства вычислительной техники

ЗАЩИТА ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА К ИНФОРМАЦИИ

Общие технические требования

Computers technique. Information protection against
unauthorised access to information. General technical requirements

ОКС 35.020
ОКСТУ 4000

Дата введения 1996-01-01

1 РАЗРАБОТАН И ВНЕСЕН Научно-исследовательским институтом "Квант" Главного управления радиопромышленности Комитета по оборонным отраслям промышленности

2 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 09.02.95 N 49

3 ВВЕДЕН ВПЕРВЫЕ

1 ОБЛАСТЬ ПРИМЕНЕНИЯ

Настоящий стандарт устанавливает единые функциональные требования к защите средств вычислительной техники (СВТ) от несанкционированного доступа (НСД) к информации; к составу документации на эти средства, а также номенклатуру показателей защищенности СВТ, описываемых совокупностью требований к защите и определяющих классификацию СВТ по уровню защищенности от НСД к информации.

Под СВТ в данном стандарте понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Применение в комплекте СВТ средств криптографической защиты информации может быть использовано для повышения гарантий качества защиты.

Требования настоящего стандарта являются обязательными.

2 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ

В настоящем стандарте применены следующие сокращения:

— СВТ — средства вычислительной техники;

— НСД — несанкционированный доступ;

— КСЗ — комплекс средств защиты;

— ПРД — правила разграничения доступа.

3 ОБЩИЕ ПОЛОЖЕНИЯ

3.1 Требования к защите реализуются в СВТ в виде совокупности программно-технических средств защиты.

Совокупность всех средств защиты составляет комплекс средств защиты (КСЗ).

3.2 В связи с тем, что показатели защищенности СВТ описываются требованиями, варьируемыми по уровню и глубине в зависимости от класса защищенности СВТ, в настоящем стандарте для любого показателя приводится набор требований, соответствующий высшему классу защищенности от НСД.

3.3 Стандарт следует использовать при разработке технических заданий, при формулировании и проверке требований к защите информации.

4 ТЕХНИЧЕСКИЕ ТРЕБОВАНИЯ

Защищенность от НСД к информации при ее обработке СВТ характеризуется тем, что только надлежащим образом уполномоченные лица или процессы, инициированные ими, будут иметь доступ к чтению, записи, созданию или уничтожению информации.

Защищенность обеспечивается тремя группами требований к средствам защиты, реализуемым в СВТ:

а) требования к разграничению доступа, предусматривающие то, что СВТ должны поддерживать непротиворечивые, однозначно определенные правила разграничения доступа;

б) требования к учету, предусматривающие то, что СВТ должны поддерживать регистрацию событий, имеющих отношение к защищенности информации;

в) требования к гарантиям, предусматривающие необходимость наличия в составе СВТ технических и программных механизмов, позволяющих получить гарантии того, что СВТ обеспечивают выполнение требований к разграничению доступа и к учету.

5 ГРУППЫ ТРЕБОВАНИЙ

5.1 Требования к разграничению доступа

5.1.1 Требования к разграничению доступа определяют следующие показатели защищенности, которые должны поддерживаться СВТ:

а) дискретизационный принцип контроля доступа;

б) мандатный принцип контроля доступа;

в) идентификация и аутентификация;

г) очистка памяти;

д) изоляция модулей;

е) защита ввода и вывода на отчуждаемый физический носитель информации;

ж) сопоставление пользователя с устройством.

5.1.2 Для реализации дискретизационного принципа контроля доступа КСЗ должен контролировать доступ именованных субъектов (пользователей) к именованным объектам (например, файлам, программам, томам).

Дли каждой пары (субъект — объект) в СВТ должно быть задано явное и недвусмысленное перечисление допустимых типов доступа (например, читать, писать), т.е. тех типов доступа, которые являются санкционированными для данного субъекта (индивида или группы индивидов) к данному ресурсу СВТ (объекту).

Контроль доступа должен быть применим к каждому объекту и каждому субъекту (индивиду или группе равноправных индивидов).

Механизм, реализующий дискретизационный принцип контроля доступа, должен предусматривать санкционированное изменение правил разграничения доступа (ПРД), в том числе санкционированное изменение списка пользователей СВТ и списка защищаемых объектов.

Право изменять ПРД должно быть предоставлено выделенным субъектам (например, администрации, службе безопасности).

Должны быть предусмотрены средства управления, ограничивающие распространение прав на доступ.

КСЗ должен содержать механизм, претворяющий в жизнь дискретизационные ПРД, как для явных действий пользователя, так и для скрытых. Под "явными" здесь подразумеваются действия, осуществляемые с использованием системных средств, а под "скрытыми" — иные действия, в том числе с использованием собственных программ работы с устройствами.

5.1.3 Для реализации мандатного принципа контроля доступа каждому субъекту и каждому объекту присваивают классификационные метки, отражающие их место в соответствующей иерархии. С помощью этих меток субъектам и объектам должны быть назначены классификационные уровни, являющиеся комбинациями уровня иерархической классификации и иерархических категорий. Данные метки должны служить основой мандатного принципа разграничения доступа.

КСЗ при вводе новых данных в систему должен запрашивать и получать от санкционированного пользователя классификационные метки этих данных. При санкционированном внесении в список пользователей нового субъекта ему должны быть назначены классификационные метки. Внешние классификационные метки (субъектов, объектов) должны точно соответствовать внутренним меткам (внутри КСЗ).

КСЗ должен реализовать мандатный принцип контроля доступа применительно ко всем объектам при явном и скрытом доступе со стороны любого из субъектов:

а) субъект может читать объект, если уровень иерархической классификации в классификационном уровне субъекта не меньше, чем уровень иерархической классификации в классификационном уровне субъекта, и неиерархические категории в классификационном уровне субъекта включают в себя все неиерархические категории в классификационном уровне объекта:

б) субъект осуществляет запись в объект, если классификационный уровень субъекта в иерархической классификации не больше, чем классификационный уровень объекта в иерархической классификации, и все неиерархические категории в классификационном уровне субъекта включены в неиерархические категории в классификационном уровне объекта.

Реализация мандатных ПРД должна предусматривать возможности сопровождения — изменения классификационных уровней субъектов и объектов специально выделенными субъектами.

В СВТ должен быть реализован диспетчер доступа, т.е. средство, осуществляющее перехват всех обращений субъектов к объектам, а также разграничение доступа в соответствии с заданным принципом разграничения доступа. При этом решение о санкционированности запроса на доступ следует принимать только при одновременном разрешении его дискретизационными и мандатными ПРД. Таким образом, должны быть контролируемыми не только единичный акт доступа, но и потоки информации.

5.1.4 КСЗ должен обеспечивать идентификацию субъектов при запросах на доступ, должен проверять подлинность идентификатора субъекта — осуществлять аутентификацию. КСЗ должен располагать необходимыми данными для идентификации и аутентификации и препятствовать доступу к защищаемым ресурсам неидентифицированных субъектов или субъектов, чья подлинность при аутентификации не подтвердилась.

КСЗ должен обладать способностью связывать полученный результат идентификации и аутентификации со всеми действиями, относящимися к контролю, предпринимаемыми в отношении данного субъекта.

5.1.5 КСЗ должен осуществлять очистку оперативной и внешней памяти. Очистка должна производиться путем записи маскирующей информации в память при ее освобождении (перераспределении).

5.1.6 При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта) от программных модулей других процессов (других субъектов), т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга.

5.1.7 КСЗ должен различать каждое устройство ввода-вывода и каждый канал связи как произвольно используемые или как идентифицированные ("помеченные"). При вводе с "помеченного устройства (выводе на "помеченное" устройство) КСЗ должен обеспечивать соответствие между меткой вводимого (выводимого) объекта (классификационным уровнем) и меткой устройства. Такое же соответствие должно быть при работе с "помеченным" каналом связи.

Изменения в назначении и разметке устройств и каналов должны осуществляться только под контролем КСЗ.

5.1.8 КСЗ должен обеспечивать вывод информации на запрошенное пользователем устройство как для произвольно используемых устройств, так и для идентифицированных (при совпадении маркировки).

КСЗ должен включать в себя механизм, с помощью которого санкционированный пользователь надежно сопоставляется с выделенным ему идентифицированным устройством.

5.2 Требования к учету

5.2.1 Требования к учету определяют следующие показатели защищенности, которые должны поддерживаться СВТ:

5.2.2 КСЗ должен осуществлять регистрацию следующих событий:

а) использование идентификационного и аутентификационного механизма;

б) запрос на доступ к защищаемому ресурсу (например, открытие файла, запуск программы);

в) создание и уничтожение объекта;

г) действия, связанные с изменением ПРД.

Для каждого из этих событий должна быть зарегистрирована следующая информация:

— субъект, осуществляющий регистрируемое действие;

— тип события (если регистрируется запрос на доступ, то отмечают объект и тип доступа);

— успешно ли осуществилось событие (обслужен запрос на доступ или нет).

КСЗ должен содержать средства выборочного ознакомления с регистрационной информацией.

Для высоких классов защищенности СВТ должна быть предусмотрена регистрация всех попыток доступа, всех действий оператора и выделенных субъектов (например, администраторов защиты).

5,2.3 КСЗ должен обеспечивать вывод защищаемой информации на документ вместе с ее классификационной меткой.

5.3 Требования к гарантиям

5.3.1 Требования к гарантиям определяют следующие показатели защищенности, которые должны поддерживаться СВТ:

Источник

КАК: ГОСТ Р 50739-95 Метод санитарной обработки данных (ГОСТ Р50739-95) — 2021

ГОСТ Р 50739-95 — это метод обработки данных, основанный на программном обеспечении, используемый в некоторых программах для измельчения файлов и уничтожения данных для перезаписывания существующей информации на жестком диске или другом устройстве хранения.

Стирание жесткого диска с использованием метода дезактивации данных ГОСТ Р 50739-95 предотвратит поиск всех методов восстановления файлов на основе программного обеспечения на диске, а также предотвратит извлечение информации большинством аппаратных методов восстановления.

Замечания: Российский стандарт стандартизации данных ГОСТ Р 50739-95, неправильно названный ГОСТ p50739-95, на самом деле не существует, но метод с таким именем часто используется в программах по уничтожению данных.

ГОСТ Р 50739-95 Метод очистки

Метод дезинфекции данных ГОСТ Р 50739-95 обычно реализуется одним из двух способов:

• Проход 1: Записывает ноль
• Проход 2: Записывает случайный символ

• Проход 1: Записывает случайный символ

Одно существенное различие между методом удаления данных по ГОСТ Р 50739-95 по сравнению с другими заключается в том, что это не является требованием для прохождения «проверки» после того, как информация была перезаписана.

Все это означает, что программа, использующая метод очистки, по-прежнему может заявить, что использовала GOST R 50739-95, даже если она не проверяет, что данные были фактически удалены.

Однако любая программа, использующая GOST R 50739-95, может проверить перезапись, если она захочет; обычно это вариант в программах по уничтожению данных и измельчителях файлов.

Бесплатное программное обеспечение, поддерживающее метод ГОСТ Р 50739-95

Существует множество бесплатных приложений, которые могут использовать определенный метод очистки данных для перезаписи файлов и сделать его намного сложнее, если не невозможно, для восстановления средним человеком. Некоторые из них поддерживают метод ГОСТ Р 50739-95, но прежде чем принимать решение, сначала определите какие вы хотите удалить и как вы планируете удалить его.

Например, если вам нужен простой файловый измельчитель, который может удалять определенные файлы, а не обязательно целые папки или жесткие диски одновременно, то удалить файлы навсегда — это тот, который поддерживает ГОСТ Р 50739-95. Так же можно использовать Eraser и Hardwipe.

Последние два, плюс Disk Wipe, полезны, если вы делать необходимо удалить все файлы в папке или стереть каждый отдельный фрагмент данных с внешнего жесткого диска, такого как флэш-накопитель, или другого внутреннего жесткого диска.

Однако, если вы планируете стереть все файлы на вашем основном жестком диске, вам нужно использовать совершенно другой подход; тот, который вы используете прямо сейчас. Это связано с тем, что вы не можете запускать программное обеспечение на том же жестком диске, который хотите стереть.

Для этого вам нужна программа очистки данных, которая запускается до запускается операционная система. То есть, вы можете загрузиться с флеш-накопителя или диска вместо основного жесткого диска. Таким образом, вы можете удалить каждый отдельный файл, который обычно будет заблокирован или используется при активном жестком диске.

CBL Data Shredder является одним из примеров такой программы. Однако, в отличие от упомянутых выше инструментов, этот вариант не включает GOST R 50739-95 в качестве опции по умолчанию. Вместо этого вы должны настроить проходы, чтобы первый записывал нули над данными, а второй записывал случайные символы (два прохода, которые определяют метод ГОСТ Р 50739-95).

Замечания: См. Как изменить порядок загрузки в BIOS, если вам нужна помощь в изменении того устройства, к которому загружается ваш компьютер, что требуется, если вы планируете запустить CBL Data Shredder.

Большинство программ по уничтожению данных поддерживают несколько методов дезинфекции данных в дополнение к ГОСТ Р 50739-95. Это означает, что вы можете использовать одно и то же программное обеспечение для использования методов DoD 5220.22-M, Gutmann и Random Data.

Совет: Hard Disk Scrubber — еще один инструмент, который может перезаписывать отдельные файлы с использованием метода GOST R 50739-95, но вы должны сами создавать собственные пропуски, как с помощью CBL Data Shredder.

Подробнее о ГОСТ Р 50739-95

На самом деле никогда не было официального метода дезинфекции данных ГОСТ Р 50739-95 (и не было никакого метода ГОСТ p50739-95). Существует документ ГОСТ Р 50739-95, о котором я расскажу ниже, но в документе не указывается стандарт или методология санитарной обработки данных.

Независимо от того, что реализация, о которой я упоминал выше, обозначена как методы ГОСТа большинством программ уничтожения данных.

ГОСТ P 50739-95, переведенный как ГОСТ Р 50739-95, представляет собой изначально разработанный Россией набор стандартов, предназначенных для защиты от несанкционированного доступа к информации. Полный текст ГОСТ Р 50739-5 можно прочитать здесь: ГОСТ Р 50739-95.

ГОСТ — акроним для государственного стандарта, что означает государственный стандарт .

Источник

Что такое ГОСТ Р 50739-95?

ГОСТ Р 50739-95 — это программный метод очистки данных, используемый в некоторых программах для уничтожения файлов и уничтожения данных для перезаписи существующей информации на жестком диске или другом устройстве хранения.

Стирание жесткого диска с использованием метода санации данных ГОСТ Р 50739-95 не позволит всем программным методам восстановления файлов найти информацию на диске, а также может помешать извлечению информации большинством аппаратных методов восстановления.

Российский стандарт санитарной обработки данных ГОСТ Р 50739-95, ошибочно называемый ГОСТ p50739-95, на самом деле не существует, но метод с таким названием часто используется в программах уничтожения данных.

ГОСТ Р 50739-95 Метод протирки

Метод санации данных ГОСТ Р 50739-95 обычно реализуется одним из следующих двух способов:

• Проход 1: записывает ноль
• Pass 2: пишет случайный символ

• Pass 1: пишет случайный символ

Одно из основных отличий метода стирания данных по сравнению с другими в соответствии с ГОСТ Р 50739-95 заключается в том, что не требуется проход «проверки» после перезаписи информации.

Все это означает, что программа, использующая метод стирания, может по-прежнему утверждать, что использовала ГОСТ Р 50739-95, даже если она не проверяет дважды, что данные были фактически удалены.

Однако любая программа, использующая ГОСТ Р 50739-95, может проверить перезапись по своему усмотрению; обычно это опция в программах уничтожения данных и файлах.

Бесплатное программное обеспечение, поддерживающее метод ГОСТ Р 50739-95

Существует множество бесплатных приложений, которые могут использовать определенный метод очистки данных, чтобы перезаписать файлы и значительно затруднить, если не сделать невозможным, восстановление обычным человеком. Некоторые из них поддерживают метод ГОСТ Р 50739-95, но прежде чем принять решение, сначала определите, что вы хотите удалить и как вы планируете его удалить.

Например, если вам просто нужен простой файловый шредер, который может удалять определенные файлы, а не обязательно целые папки или жесткие диски сразу, навсегда удалить файлы — это тот, который поддерживает ГОСТ Р 50739-95. Так же как и Eraser и Hardwipe .

Последние два, плюс Disk Wipe , полезны , если вы делаете необходимость стереть все файлы в папке или стирать каждый фрагмент данных из внешнего жесткого диска , как флэш — накопитель или другой внутренний жесткий диск.

Тем не менее, вам нужно использовать совершенно другой подход, если вы планируете стереть все файлы на вашем основном жестком диске; тот, который вы используете прямо сейчас. Это потому, что вы не можете запустить программное обеспечение на том же жестком диске, который хотите стереть.

Для этого вам нужна программа очистки данных, которая запускается до запуска операционной системы. То есть тот, к которому вы можете загружаться с флешки или диска вместо основного жесткого диска. Таким образом, вы можете удалить каждый отдельный файл, который обычно блокируется или используется, когда жесткий диск активен.

CBL Data Shredder является одним из примеров такой программы. Однако, в отличие от инструментов, упомянутых выше, этот не включает ГОСТ Р 50739-95 в качестве опции по умолчанию. Вместо этого необходимо настроить проходы, чтобы первый записывал нули поверх данных, а второй — случайные символы (два прохода, которые определяют метод ГОСТ Р 50739-95).

См. Как изменить порядок загрузки в BIOS, если вам нужна помощь в изменении того, к какому устройству загружается ваш компьютер, что необходимо, если вы планируете использовать CBL Data Shredder.

Большинство программ уничтожения данных поддерживают несколько методов очистки данных в дополнение к ГОСТ Р 50739-95. Это означает, что вы можете использовать одно и то же программное обеспечение для использования , например, методов DoD 5220.22-M , Gutmann и Random Data .

Жесткий диск Scrubber — это еще один инструмент, который может перезаписывать отдельные файлы с помощью метода ГОСТ Р 50739-95, но вы должны сами создавать собственные проходы, как это требуется для CBL Data Shredder.

Подробнее о ГОСТ Р 50739-95

Фактически никогда не было официального метода очистки данных ГОСТ Р 50739-95 (и не было никакого метода ГОСТ Р50739-95). Существует документ ГОСТ Р 50739-95, который я обсуждаю ниже, но в документе не указывается какой-либо стандарт или методология очистки данных.

Несмотря на это, реализации, о которых я упоминал выше, большинством программ уничтожения данных помечены как методы ГОСТ.

ГОСТ Р 50739-95, переведенный как ГОСТ Р 50739-95, представляет собой изначально изложенный в России свод стандартов, предназначенных для защиты от несанкционированного доступа к информации. С полным текстом ГОСТ Р 50739-5 можно ознакомиться здесь: ГОСТ Р 50739-95 .

ГОСТ является аббревиатурой от государственного стандарта, что означает государственный стандарт .

Источник

Российские стандарты ГОСТ

Система государственных и отраслевых стандартов (ГОСТ и ОСТ) существует со времён Советского Союза. После распада СССР в России развивается своя система стандартов, направленная, в том числе, на соответствие вновь разрабатываемых стандартов международным рекомендациям.

В настоящее время все вопросы, связанные со стандартизацией в Российской Федерации, регулируются Федеральным законом "О техническом регулировании".

Статья 11 Закона определяет цели стандартизации:

· повышение уровня безопасности жизни или здоровья граждан, имущества, экологической безопасности, безопасности жизни или здоровья животных и растений;

· повышение уровня безопасности объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера;

· обеспечение научно-технического прогресса;

· повышение конкурентоспособности продукции, работ, услуг;

· рациональное использование ресурсов;

· техническая и информационная совместимость;

· сопоставимость результатов исследований (испытаний) и измерений, технических и экономико-статистических данных;

Статья 13 Закона определяет виды документов в области стандартизации, к ним отнесены:

· правила стандартизации, нормы и рекомендации в области стандартизации;

· применяемые в установленном порядке классификации, общероссийские классификаторы технико-экономической и социальной информации;

Статья 14 Закона определяет статус национального органа Российской Федерации по стандартизации и технических комитетов по стандартизации. В соответствии с данной статьей на указанный орган возложено выполнение следующих задач:

· утверждение национальных стандартов;

· принятие программы разработки национальных стандартов;

· организация экспертизы проектов национальных стандартов;

· обеспечение соответствия национальной системы стандартизации интересам национальной экономики, состоянию материально-технической базы и научно-техническому прогрессу;

· осуществление учета национальных стандартов, правил стандартизации, норм и рекомендаций в этой области и обеспечение их доступности заинтересованным лицам;

· создание технических комитетов по стандартизации и координация их деятельности;

· организация опубликования национальных стандартов и их распространения;

· участие в соответствии с уставами международных организаций в разработке международных стандартов и обеспечение учета интересов Российской Федерации при их принятии;

· утверждение изображения знака соответствия национальным стандартам;

· представительство Российской Федерации в международных организациях, осуществляющих деятельность в области стандартизации.

Орган, уполномоченный на исполнение функций национального органа по стандартизации, определяет Правительство Российской Федерации.

Ниже дан перечень (далеко не полный) основных стандартов, имеющих отношение к защите информации:

ГОСТ 1.0-92 "Межгосударственная система стандартизации. Основные положения".

ГОСТ Р 1.0-92 "Государственная система стандартизации Российской Федерации. Основные положения".

ГОСТ Р ИСО 9000-2001 "Система менеджмента качества. Основные положения и словарь".

ГОСТ Р ИСО 9001-2001 "Система менеджмента качества. Требования".

ГОСТ Р 50922-96 "Защита информации. Основные термины и определения".

ГОСТ 15971-90 "Системы обработки информации. Термины и определения".

ГОСТ Р ИСО 7498-1-99, 7498-2-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель". Часть 1 – Базовая модель. Часть 2 – Архитектура защиты информации.

ГОСТ Р 51275-99 "Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения".

ГОСТ Р 51188-98 "Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство".

ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Термины и определения".

ГОСТ Р ИСО/МЭК 15408-1-2002, 15408-2-2002, 15408-3-2002 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий" (три части).

ГОСТ Р 50739-95 "Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования".

ГОСТ Р 34.10-2001 "Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи".

ГОСТ Р 34.311-94 "Информационная технология. Криптографическая защита информации. Функция хеширования".

ГОСТ Р 34.311-95 "Информационная технология. Криптографическая защита информации. Функция кэширования".

ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования".

Источник