ГОСТ Р ИСО 7498-2-99

Группа П85

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ

ВЗАИМОСВЯЗЬ ОТКРЫТЫХ СИСТЕМ

БАЗОВАЯ ЭТАЛОННАЯ МОДЕЛЬ

Часть 2. Архитектура защиты информации

Information technology. Open Systems Interconnection.
Basic Reference Model. Part 2. Security Architecture

ОКС 35.100

ОКСТУ 4002

Дата введения 2000-01-01

Предисловие

1 РАЗРАБОТАН Московским научно-исследовательским центром (МНИЦ) Государственного комитета Российской Федерации по связи и информатизации

ВНЕСЕН Техническим комитетом ТК 22 "Информационные технологии"

2 ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 18 марта 1999 г. N 77

Настоящий стандарт содержит полный аутентичный текст международного стандарта ИСО 7498-2-89 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации"

3 ВВЕДЕН ВПЕРВЫЕ

Введение

ГОСТ Р ИСО/МЭК 7498 определяет базовую эталонную модель взаимосвязи открытых систем (ВОС). Настоящий стандарт устанавливает основы для обеспечения скоординированных разработок действующих и будущих стандартов по ВОС.

Назначение ВОС состоит в обеспечении такой взаимосвязи неоднородных вычислительных систем, которая позволила бы достичь эффективного обмена данными между прикладными процессами. В различных ситуациях необходимо обеспечение управляющих функций защиты информации, которой обмениваются прикладные процессы. Эти управляющие функции могут довести стоимость получения или модификации данных выше возможной ценности самих данных, либо привести к такому большому времени получения данных, по истечении которого ценность этих данных теряется.

Настоящий стандарт определяет общие архитектурные элементы, относящиеся к защите, которые могут соответствующим образом использоваться в тех случаях, когда необходима защита данных, передаваемых между открытыми системами. Настоящий стандарт устанавливает в рамках эталонной модели основные направления и ограничения по совершенствованию действующих стандартов или по разработке новых стандартов в области ВОС для обеспечения защиты обмениваемых данных и, тем самым, обеспечивает согласованный подход к защите информации в рамках ВОС.

Для понимания настоящего стандарта необходимо знать основные сведения по защите информации. Поэтому читателю, недостаточно подготовленному в этой области, рекомендуется сначала ознакомиться с приложением А.

Настоящий стандарт является расширением базовой эталонной модели в части аспектов защиты информации, которые являются общими архитектурными элементами для протоколов обмена данными, но не рассмотрены в базовой эталонной модели.

     1 Область применения

Настоящий стандарт:

a) содержит общее описание тех услуг и соответствующих механизмов защиты, которые могут быть обеспечены эталонной моделью;

b) определяет те позиции в рамках эталонной модели, в которых могут обеспечиваться эти услуги и механизмы.

Настоящий стандарт расширяет область применения ГОСТ Р ИСО/МЭК 7498-1, охватывая вопросы защиты обмена данными между открытыми системами.

Основные услуги и механизмы защиты и их соответствующее размещение определено для всех уровней базовой эталонной модели. Кроме того, определены также архитектурные взаимоотношения услуг и механизмов защиты с базовой эталонной моделью. В оконечных системах, установках и организациях могут потребоваться дополнительные средства защиты. Эти средства используются в различных прикладных контекстах. Определение услуг защиты, необходимых для обеспечения этих дополнительных средств, не входит в предмет рассмотрения настоящего стандарта.

Функции защиты в рамках ВОС рассмотрены с учетом только тех наблюдаемых аспектов маршрутов обмена данными, которые позволяют оконечным системам обеспечивать защищенную передачу информации между ними. Защита в рамках ВОС не касается средств защиты, необходимых в оконечных системах, установках и организациях, за исключением тех случаев, когда эти системы оказывают влияние на выбор и позицию услуг защиты, наблюдаемых в ВОС. Эти аспекты защиты могут быть стандартизированы, но вне области распространения стандартов по ВОС.

Настоящий стандарт дополняет концепции и принципы, установленные в ГОСТ Р ИСО/МЭК 7498-1, но не изменяет их. Настоящий стандарт не является ни спецификацией, ни основой для оценки соответствия действующих реализаций.

     2 Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие стандарты.

ГОСТ Р ИСО/МЭК 7498-1-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть. 1. Базовая модель

ГОСТ Р ИСО/МЭК 7498-4-99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 4. Основы административного управления

ГОСТ Р ИСО 8648-98 Информационная технология. Взаимосвязь открытых систем. Внутренняя организация сетевого уровня     

     3 Определения и сокращения

     3.1 В настоящем стандарте используют следующие термины, определенные в ГОСТ Р ИСО/МЭК 7498-1:

a) (N)-соединение;

b) (N)-передача данных;

c) (N)-логический объект;

d) (N)-средство;

e) (N)-ypовень;

f) открытая система;

g) равноправные логические объекты;

h) (N)-протокол;

j) (N)-протокольный блок данных;

k) (N)-ретранслятор;

l) маршрутизация;

m) упорядочение;

n) (N)-услуга;

p) (N)-сервисный блок данных;

q) (N)-данные пользователя;

r) подсеть;

s) ресурс ВОС;

t) синтаксис передачи.

    3.2 Настоящий стандарт использует следующие термины соответствующих стандартов:

передача без установления соединения (ГОСТ Р ИСО/МЭК 7498-1)

оконечная система (ГОСТ Р ИСО/МЭК 7498-1)

блок данных (ГОСТ Р ИСО/МЭК 7498-1)

функции трансляции и маршрутизации (ГОСТ Р ИСО 8648)

информационная база административного управления (ИБАУ) (ГОСТ ИСО 7498-4)

Кроме того, в настоящем стандарте используют следующие сокращения:

ВОС - взаимосвязь открытых систем

СБД - сервисный блок данных

ИБАУ - информационная база административного управления

ИБАУЗ - информационная база административного управления защитой

    3.3 В настоящем стандарте используют следующие определения:

3.3.1 Управление доступом - предотвращение несанкционированного использования какого-либо ресурса, включая предотвращение использования ресурса неполномочным способом.

3.3.2 Список управления доступом - список логических объектов, имеющих разрешение на доступ к ресурсу, вместе с перечнем их прав на доступ.

3.3.3 Учетность - свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта.

3.3.4 Активная угроза - угроза преднамеренного несанкционированного изменения состояния системы.

Примечание - Примерами активных угроз, относящихся к защите информации, могут служить модификация сообщений, дублирование сообщений, вставка ложных сообщений, маскирование какого-либо логического объекта под санкционированный логический объект и отклонение услуги.

3.3.5 Анализ процедур - см. анализ процедур защиты.

3.3.6 Данные трассировки - см. данные трассировки защиты.

3.3.7 Аутентификация - см. аутентификация отправителя данных и равноправного логического объекта.

Примечание - В настоящем стандарте термин "аутентификация" не используется по отношению к целостности данных; вместо него используется термин "целостность данных".

3.3.8 Информация аутентификации - информация, используемая для установления подлинности запрашиваемой личности.

3.3.9 Обмен аутентификацией - механизм, предназначенный для подтверждения подлинности какого-либо логического объекта путем обмена информацией.

3.3.10 Полномочие - предоставление прав, гарантирующих доступ к ресурсам в соответствии с правами на доступ.

3.3.11 Доступность - свойство быть доступным и используемым по запросу со стороны уполномоченного логического объекта.

3.3.12 Функциональная возможность - маркер, используемый в качестве идентификатора какого-либо ресурса, овладение которым дает право на доступ к данному ресурсу;

3.3.13 Канал - маршрут передачи информации.

3.3.14 Шифротекст - данные, получаемые в результате использования шифрования. Семантическое содержимое полученных в результате шифрования данных недоступно.

Примечание - Шифротекст может сам по себе служить входом в процесс шифрования, в результате чего вырабатывается суперзашифрованный выход.

3.3.15 Открытый текст - смысловые данные, семантическое содержимое которых доступно.

3.3.16 Конфиденциальность - свойство, позволяющее не давать права на доступ к информации или не раскрывать ее неполномочным лицам, логическим объектам или процессам.

3.3.17 Удостоверение личности - данные, передаваемые для установления заявленной подлинности логического объекта.

3.3.18 Криптоанализ - анализ криптографической системы и/или ее входов и выходов с целью получения конфиденциальных переменных и/или чувствительных данных, включая открытый текст.

3.3.19 Криптографическое контрольное значение - информация, получаемая в результате выполнения криптографического преобразования (см. криптография) блока данных.

Примечание - Контрольное значение может быть получено путем выполнения одного или нескольких шагов и является результатом математической функции ключа и блока данных. Оно обычно используется для проверки целостности блока данных.

3.3.20 Криптография - дисциплина, охватывающая принципы, средства и методы преобразования данных для сокрытия их информационного содержимого, предотвращения их необнаруживаемой модификации и/или их несанкционированного использования.

Примечание - Криптография устанавливает методы, используемые при шифровании и дешифровании. Любое вторжение в криптографические принципы, средства или методы, представляет собой криптоанализ.

3.3.21 Целостность данных - способность данных не подвергаться изменению или аннулированию в результате несанкционированного доступа.

3.3.22 Аутентификация отправителя данных - подтверждение того, что отправитель полученных данных соответствует заявленному.