Федеральная служба по техническому и экспортному контролю является основным государственным органом в России, курирующем вопросы защиты информации от НСД. Руководящие документы, Положения и Постановления ФСТЭК России формируют большую часть отечественной нормативной базы в области защиты информации [fstek]. Наиболее полную информацию о деятельности ФСТЭК России, включая тексты документов, можно найти на их официальном сайте по адресу: http://www.fstec.ru Критерии для оценки механизмов защиты программно-технического уровня, используемые при анализе защищенности АС и СВТ, также выражены в РД ФСТЭК РФ "АС. Защита от НСД к информации. Классификация АС и требования по защите информации." и "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации".

РД "СВТ. Защита от НСД к информации. Показатели защищенности от НСД к информации" устанавливает классификацию СВТ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований. Устанавливается семь классов защищенности СВТ от НСД к информации. Самый низкий класс седьмой, самый высокий первый. Классы подразделяются на четыре группы, отличающиеся уровнем защиты:

- первая группа содержит только один седьмой класс;

- вторая группа характеризуется дискреционной защитой и содержит шестой и пятый классы;

- третья группа характеризуется мандатной защитой и содержит четвертый, третий и второй классы;

- четвертая группа характеризуется верифицированной защитой содержит только первый класс.

РД "АС. Защита от НСД к информации. Классификация АС и требования по защите информации" устанавливает классификацию автоматизированных систем, подлежащих защите от несанкционированного доступа к информации, и требования по защите информации в АС различных классов. К числу определяющих признаков, по которым производится группировка АС в различные классы, относятся:

- наличие в АС информации различного уровня конфиденциальности;

- уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

- режим обработки данных в АС - коллективный или индивидуальный. Устанавливается девять классов защищенности АС от НСД к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности и конфиденциальности информации и, следовательно, иерархия классов защищенности АС.

При анализе системы защиты внешнего периметра корпоративной сети, в качестве основных критериев используется РД ""СВТ. МЭ. Защита от НСД к информации. Показатели защищенности от НСД к информации". Данный документ определяет показатели защищенности МЭ. Каждый показатель защищенности представляет собой набор требований безопасности, характеризующих определенную область функционирования МЭ. Всего выделяется пять показателей защищенности:

1. Управление доступом

2. Идентификация и аутентификация

3. Регистрация событий и оповещение

4. Контроль целостности

5. Восстановление работоспособности

На основании показателей защищенности определяется следующие пять классов защищенности МЭ:

1. Простейшие фильтрующие маршрутизаторы - 5 класс

2. Пакетные фильтры сетевого уровня - 4 класс

3. Простейшие МЭ прикладного уровня - 3 класс

4. МЭ базового уровня - 2 класс

5. Продвинутые МЭ - 1 класс

МЭ первого класса защищенности могут использоваться в АС класса 1А, обрабатывающих информацию "Особой важности". Второму классу защищенности МЭ соответствует класс защищенности АС 1Б, предназначенный для обработки "совершенно секретной" информации и т. п.

В настоящее время описанные РД уже устарели и содержащаяся в них классификация АС, СВТ и МЭ не может признаваться состоятельной. Достаточно заметить, что классификация АС и СВТ, разрабатывалась без учета распределенной (сетевой) природы современных АС, а все современные коммерческие МЭ по своим возможностям существенно превосходят требования 1-го класса защищенности (за исключением требования по использованию сертифицированных криптографических алгоритмов). Развитием нормативной базы в этом направлении является разработка "Профилей защиты" для различных классов СВТ, АС и МЭ на базе "Общих критериев". В настоящее время создано уже значительное количество англоязычных профилей защиты. Значительные усилия в этом направлении предпринимаются и в России под эгидой ФСТЭК России.

Проект РД ФСТЭК России "Специальные требования и рекомендации по защите конфиденциальной информации" (СТР-К), официально еще не принятый, содержит достаточно полный набор требований и рекомендаций организационного уровня по защите речевой информации, информации, обрабатываемой средствами вычислительной техники, а также по защите информации при подключении к сетям общего пользования. В документе рассматриваются в том числе следующие вопросы:

- Защита информации на рабочих местах на базе автономных ПЭВМ;

- Защита информации при использовании съемных накопителей большой емкости для автоматизированных рабочих мест на базе автономных ПЭВМ;

- Защита информации в локальных вычислительных сетях;

- Защита информации при межсетевом взаимодействии;

- Защита информации при работе с системами управления базами данных.

СТР-К может использоваться при проведении аудита безопасности АС для оценки полноты и правильности реализации организационных мер защиты Информации в АС. Аттестации АС и сертификация СВТ по требованиям безопасности информации, аудит и обследование безопасности, в отдельных случаях, предполагают использование помимо перечисленных, и других документов ФСТЭК России.