Товары в корзине: 0 шт Оформить заказ
Стр. 1
 

39 страниц

487.00 ₽

Купить ГОСТ Р ИСО 7498-2-99 — официальный бумажный документ с голограммой и синими печатями. подробнее

Официально распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль".

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

Настоящий стандарт: содержит общее описание тех услуг и соответствующих механизмов защиты, которые могут быть обеспечены эталонной моделью; определяет те позиции в рамках эталонной модели, в которых могут обеспечиваться эти услуги и механизмы; расширяет область применения ГОСТ Р ИСО/МЭК 7498-1, охватывая вопросы защиты обмена данными между открытыми системами

  Скачать PDF

Оглавление

Введение

1 Область применения

2 Нормативные ссылки

3 Определения и сокращения

4 Обозначения

5 Общее описание услуг и механизмов защиты

5.1 Общее описание

5.2 Услуги защиты

5.3 Специальные механизмы защиты

5.4 Общеархитектурные механизмы защиты

5.5 Иллюстрация взаимоотношений услуг и механизмов защиты

6 Взаимодействие услуг, механизмов и уровней

6.1 Принципы уровневой структуры защиты

6.2 Модель привлечения, административного управления и использования защищенных (N)-услуг

7 Размещение услуг и механизмов защиты

7.1 Физический уровень

7.2 Уровень звена данных

7.3 Сетевой уровень

7.4 Транспортный уровень

7.5 Сеансовый уровень

7.6 Уровень представления

7.7 Прикладной уровень

7.8 Иллюстрация взаимоотношений между услугами защиты и уровнями

8 Административное управление защитой

8.1 Общие положения

8.2 Категории административного управления защитой ВОС

8.3 Конкретные активности административного управления защитой системы

8.4 Функции административного управления механизмами защиты

Приложение А Общие принципы построения защиты в рамках ВОС

Приложение В Обоснование размещения услуг и механизмов защиты информации в разделе 7

Приложение С Выбор позиций шифрования для конкретных применений

Показать даты введения Admin

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

ВЗАИМОСВЯЗЬ ОТКРЫТЫХ СИСТЕМ БАЗОВАЯ ЭТАЛОННАЯ МОДЕЛЬ

Часть 2.

Архитектура защиты информации

БЗ 3-98/418


Издание официальное

ГОССТАНДАРТ РОССИИ Москва

Предисловие

1    РАЗРАБОТАН Московским научно-исследовательским центром (МНИЦ) Государственного комитета Российской Федерации по связи и информатизации

ВНЕСЕН Техническим комитетом ТК 22 «Информационные технологии*

2    ПРИНЯТ И ВВЕДЕН В ДЕЙСТВИЕ Постановлением Госстандарта России от 18 марта 1999 г. № 77

Настоящий стандарт содержит полный аутентичный текст международного стандарта ИСО 7498-2—89 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации»

3    ВВЕДЕН ВПЕРВЫЕ

© И ПК Издательство стандартов, 1999

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Госстандарта России

П

ГОСТ Р ИСО 7498-2-99

Содержание

Введение.................................................................. 1

1    Область применения........................................................ 1

2    Нормативные ссылки....................................................... 2

3    Определения и сокращения.................................................. 2

4    Обозначения.............................................................. 5

5    Общее описание услуг и механизмов защиты..................................... 5

5.1    Общее описание........................................................ 5

5.2    Услуги защиты......................................................... 5

5.3    Специальные механизмы защиты........................................... 7

5.4    Общеархитектурные механизмы защиты......................................10

5.5    Иллюстрация взаимоотношений услуг и механизмов защиты......................11

6    Взаимодействие услуг, механизмов и уровней.....................................12

6.1    Принципы уровневой структуры защиты.....................................12

6.2    Модель привлечения, административного управления и использования защищенных

(N)-yoiyr.............................................................13

7    Размещение услуг и механизмов защиты........................................16

7.1    Физический уровень.....................................................16

7.2    Уровень звена данных...................................................16

7.3    Сетевой уровень........................................................16

7.4    Транспортный уровень...................................................18

7.5    Сеансовый уровень......................................................18

7.6    Уровень представления...................................................19

7.7    Прикладной уровень....................................................20

7.8    Иллюстрация взаимоотношений между услугами защиты и уровнями...............21

8    Административное управление защитой.........................................22

8.1    Общие положения......................................................22

8.2    Категории административного управления защитой ВОС.........................23

8.3    Конкретные активности административного управления защитой системы...........24

8.4    Функции административного управления механизмами защиты....................24

Приложение А Общие принципы построения защиты в рамках ВОС....................26

Приложение В Обоснование размещения услуг и механизмов защиты информации

в разделе 7....................................................33

Приложение С Выбор позиций шифрования для конкретных применений................35

П1

ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информационная технология

ВЗАИМОСВЯЗЬ ОТКРЫТЫХ СИСТЕМ БАЗОВАЯ ЭТАЛОННАЯ МОДЕЛЬ

Ч а с т ь 2. Архитектура защиты информации

Information technology. Open Systems Interconnection. Basic Reference Model.

Part 2. Security Architecture

Дата введения 2000—01—01

Введение

ГОСТ Р ИСО/МЭК 7498 определяет базовую эталонную модель взаимосвязи открытых систем (ВОС). Настоящий стандарт устанавливает основы для обеспечения скоординированных разработок действующих и будущих стандартов по ВОС.

Назначение ВОС состоит в обеспечении такой взаимосвязи неоднородных вычислительных систем, которая позволила бы достичь эффективного обмена данными между прикладными процессами. В различных ситуациях необходимо обеспечение управляющих функций защиты информации, которой обмениваются прикладные процессы. Эти управляющие функции могут довести стоимость получения или модификации данных выше возможной ценности самих данных, либо привести к такому большому времени получения данных, по истечении которого ценность этих данных теряется.

Настоящий стандарт определяет общие архитектурные элементы, относящиеся к защите, которые могут соответствующим образом использоваться в тех случаях, когда необходима защита данных, передаваемых между открытыми системами. Настоящий стандарт устанавливает в рамках эталонной модели основные направления и ограничения по совершенствованию действующих стандартов или по разработке новых стандартов в области ВОС для обеспечения защиты обмениваемых данных и, тем самым, обеспечивает согласованный подход к защите информации в рамках ВОС.

Для понимания настоящего стандарта необходимо знать основные сведения по защите информации. Поэтому читателю, недостаточно подготовленному в этой области, рекомендуется сначала ознакомиться с приложением А.

Настоящий стандарт является расширением базовой эталонной модели в части аспектов защиты информации, которые являются общими архитектурными элементами для протоколов обмена данными, но не рассмотрены в базовой эталонной модели.

1 Область применения

Настоящий стандарт:

a)    содержит общее описание тех услуг и соответствующих механизмов защиты, которые могут быть обеспечены эталонной моделью;

b)    определяет те позиции в рамках эталонной модели, в которых могут обеспечиваться эти услуги и механизмы.

Настоящий стандарт расширяет область применения ГОСТ Р ИСО/МЭК 7498-1, охватывая вопросы защиты обмена данными между открытыми системами.

Основные услуги и механизмы защиты и их соответствующее размещение определено для всех уровней базовой эталонной модели. Кроме того, определены также архитектурные взаимоотношения услуг и механизмов защиты с базовой эталонной моделью. В оконечных системах, установках и организациях могут потребоваться дополнительные средства зашиты. Эти средства используются в различных прикладных контекстах. Определение услуг защиты, необходимых для обеспечения этих дополнительных средств, не входит в предмет рассмотрения настоящего стандарта.

Издание официальное

Функции защиты в рамках ВОС рассмотрены с учетом только тех наблюдаемых аспектов маршрутов обмена данными, которые позволяют оконечным системам обеспечивать защищенную передачу информации между ними. Защита в рамках ВОС не касается средств защиты, необходимых в оконечных системах, установках и организациях, за исключением тех случаев, когда эти системы оказывают влияние на выбор и позицию услуг защиты, наблюдаемых в ВОС. Эти аспекты защиты могут быть стандартизированы, но вне области распространения стандартов по ВОС.

Настоящий стандарт дополняет концепции и принципы, установленные в ГОСТ Р ИСО/МЭК 7498-1, но не изменяет их. Настоящий стандарт не является ни спецификацией, ни основой для оценки соответствия действующих реализаций.

2 Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие стандарты.

ГОСТ Р ИСО/МЭК 7498-1—99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть. 1. Базовая модель

ГОСТ Р ИСО/МЭК 7498-4—99 Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 4. Основы административного управления

ГОСТ Р ИСО 8648-98 Информационная технология. Взаимосвязь открытых систем. Внутренняя организация сетевого уровня

3 Определения и сокращения


3.1 В настоящем стандарте используют следующие термины, определенные ГОСТ Р ИСО/МЭК 7498-1:

a)    (1Ч)-соедннение;

b)    (^-передача данных;

c)    (N)-логический объект;

d)    (1Ч)-средство;

e)    (N)-ypoeeHb;

О открытая система;

g)    равноправные логические объекты;

h)    (N)-npoTOKon;

j)    (N)-протокольный блок данных;

k)    (N)-ретранслятор;

l)    маршрутизация; т) упорядочение;

п)    (1Ч)-услуга;

р)    (^-сервисный блок данных; q) (N)-данные пользователя;

г) подсеть;

s)    ресурс ВОС;

t)    синтаксис передачи.


в


3.2 Настоящий стандарт использует следующие термины соответствующих стандартов:


(ГОСТ Р ИСО/МЭК 7498-1) (ГОСТ Р ИСО/МЭК 7498-1) (ГОСТ Р ИСО/МЭК 7498-1) (ГОСТ Р ИСО 8648)


передача без установления соединения оконечная система блок данных

функции трансляции и маршрутизации информационная база административного управления (ИБАУ)

Кроме того, в настоящем стандарте используют следующие сокращения: ВОС — взаимосвязь открытых систем СБД — сервисный блок данных

ИБАУ — информационная база административного управления ИБАУЗ — информационная база административного управления защитой



3.3 В настоящем стандарте используют следующие определения:

3.3.1 Управление доступом — предотвращение несанкционированного использования какого-либо ресурса, включая предотвращение использования ресурса нсполномочным способом.


ГОСТ Р ИСО 7498-2-99

3.3.2    Список управления доступом — список логических объектов, имеющих разрешение на доступ к ресурсу, вместе с перечнем их прав на доступ.

3.3.3    Учета ость — свойство, обеспечивающее однозначное отслеживание собственных действий любого логического объекта.

3.3.4    Активная угроза — угроза преднамеренного несанкционированного изменения состояния системы.

Примечание — Примерами активных угроз, относящихся к защите информации, могут с л ужиль модификация сообщений, дублирование сообщений, вставка ложных сообщений, маскирование какого-либо логического объекта под санкционированный логический объект и отклонение услуги.

3.3.5    Анализ процедур — см. анализ процедур защиты.

3.3.6    Данные трассировки — см. данные трассировки защиты.

3.3.7    Аутентификация — см. аутентификация отправителя данных и равноправного логического объекта.

Примечание—В настоящем стандарте термин «аутентификация* не используется по отношению к целостности данных; вместо него используется термин «целостность данных».

3.3.8    Информация аутентификации — информация, используемая для установления подлинности запрашиваемой личности.

3.3.9    Обмен аутентификацией — механизм, предназначенный для подтверждения подлинности какого-либо логического объекта путем обмена информацией.

3.3.10    Полномочие — предоставление прав, гарантирующих доступ к ресурсам в соответствии с правами на доступ.

3.3.11    Доступность — свойство быть доступным и используемым по запросу со стороны уполномоченного логического объекта.

3.3.12    Функциональная возможность — маркер, используемый в качестве идентификатора какого-либо ресурса, овладение которым дает право на доступ к данному ресурсу.

3.3.13    Канал — маршрут передачи информации.

3.3.14    Шифротекст — данные, получаемые в результате использования шифрования. Семантическое содержимое полученных в результате шифрования данных недоступно.

Примечание — Шифротекст может сам по себе служить входом в процесс шифрования, в результате чего вырабатывается суперзашифрованный выход.

3.3.15    Открытый текст — смысловые данные, семантическое содержимое которых доступно.

3.3.16    Конфиденциальность — свойство, позволяющее не давать права на доступ к информации или не раскрывать ее нсполномочным лицам, логическим объектам или процессам.

3.3.17    Удостоверение личности — данные, передаваемые для установления заявленной подлинности логического объекта.

3.3.18    Криптоанализ — анализ криптографической системы и/или ее входов и выходов с целью получения конфиденциальных переменных и/или чувствительных данных, включая открытый текст.

3.3.19    Криптографическое контрольное значение — информация, получаемая в результате выполнения криптографического преобразования (см. криптография) блока данных.

Примечание — Контрольное значение может быть получено путем выполнения одного или нескольких шагов и является результатом математической функции ключа и блока данных. Оно обычно используется для проверки целостности блока данных.

3.3.20    Криптография — дисциплина, охватывающая принципы, средства и методы преобразования данных для сокрытия их информационного содержимого, предотвращения их необнаружи-васмой модификации и/или их несанкционированного использования.

Примечание — Криптография устанавливает методы, используемые при шифровании и дешифровании. Любое вторжение в криптографические принципы, средства или методы, представляет собой криптоанализ.

3.3.21    Целостность данных — способность данных не подвергаться изменению или аннулированию в результате несанкционированного доступа.

3.3.22    Аутентификация отправителя данных — подтверждение того, что отправитель полученных данных соответствует заявленному.

3.3.23    Дешифрование — процесс, обратный соответствующему обратимому процессу шифрования.

3.3.24    Дешифрация — см. дешифрование.

3.3.25    Отклонение услуги — предотвращение санкционированного доступа к ресурсам или задержка операций, критичных ко времени.

3

3.3.26    Цифровая подпись — дополнительные данные или криптографическое преобразование (см. криптография) какого-либо блока данных, позволяющие получателю блока данных убедиться в подлинности отправителя и целостности блока данных и защитить его от искажения с помощью, например, средств получателя.

3.3.27    Шифрование — криптографическое преобразование данных (см. криптография) для получения шифротекста.

Примечание — Шифрование может быть необратимым процессом, в связи с чем соответствующий процесс дешифрования невозможно реализовать.

3.3.28    Шнфрацня — см. шифрование.

3.3.29    Межконцевое шифрование — шифрование данных внутри или на стороне отправителя оконечной системы с соответствующим дешифрованием, выполняемое только внутри или на стороне получателя оконечной системы. (См. также позвенное шифрование.)

3.3.30    Стратегия зашиты, основанная на идентификации — стратегия защиты информации, основанная на идентификаторах и/или атрибутах пользователей, группы пользователей или логических объектов, действующих от имени пользователей и доступных им ресурсов/логических объектов.

3.3.31    Целостность — см. целостность данных.

3.3.32    Ключ — последовательность символов, управляющая операциями шифрования и дешифрования.

3.3.33    Административное управление ключом — генерация, сохранение, распределение, удаление, каталогизирование и применение ключей в соответствии со стратегией защиты.

3.3.34    Позвенное шифрование — индивидуальное прикладное применение шифрования к данным на каждом звене системы обмена данных. (См. также межхонцевое шифрование.)

Примечание — Позвенное шифрование подразумевает, что данные, передаваемые через логический объект ретранслятора, должны иметь формат открытого текста.

3.3.35    Обнаружение манипуляции — механизм, используемый для обнаружения возможной модификации блока данных (случайной или преднамеренной).

3.3.36. Маскирование — стремление какого-либо логического объекта выглядеть в виде другого логического объекта.

3.3.37    Нотаризация — регистрация данных доверенным третьим лицом, которое обеспечивает последующее подтверждение правильности их характеристик, таких как содержимое, отправитель, время и получатель.

3.3.38    Пассивная угроза — угроза несанкционированного раскрытия информации без изменения состояния системы.

3.3.39    Пароль — конфиденциальная информация аутентификации, обычно состоящая из строки знаков.

3.3.40    Аутентификация равноправного логического объекта — подтверждение того, что равноправный логический объект в какой-либо ассоциации является заявленным логическим объектом.

3.3.41    Физическая защита — средства, используемые для обеспечения физической зашиты ресурсов от преднамеренной или случайной угрозы.

3.3.42    Стратегия — см. стратегия зашиты.

3.3.43    Собственность — право отдельных лиц контролировать или влиять на сбор и хранение относящейся к ним информации и на определение тех, кем и для кого может быть раскрыта эта информация.

Примечание — Поскольку данный термин относится к праву отдельных лиц, он не может быть точно определен и его использования следует избегать, за исключением обоснованных случаев для запрашиваемой зашиты.

3.3.44    Самоотказ — самоотрицание одного из логических обье1СГОВ, участвующих в обмене данными, полного или частичного своего участия в этом обмене.

3.3.45    Управление маршрутизацией — применение правил в процессе маршрутизации по выбору или исключению конкретных сетей, звеньев данных или ретрансляторов.

3.3.46    Стратегия зашиты, основанная на правилах — стратегия защиты, основанная на общих правилах, предъявляемых ко всем пользователям. Эти правила обычно основываются на сравнении чувствительности доступных ресурсов и обладании отдельными пользователями, группами пользователей или логическими объектами, действующими от имени пользователей, соответствующими атрибутами.

4

ГОСТ Р ИСО 7498-2-99

3.3.47    Анализ процедур защиты — независимый просмотр и анализ системных записей и активностей с целью проверки их адекватности системным управляющим функциям для обеспечения соответствия с принятой стратегией защиты и операционными процедурами, обнаружения пробелов в защите и выдачи рекомендаций по любым указанным изменениям в управлении, стратегии и процедурах.

3.3.48    Данные трассировки защиты — накопленные и готовые к использованию данные, предназначенные для детализации причины анализа процедур защиты.

3.3.49    Метка защиты — граничная метка, присваиваемая какому-либо ресурсу (в качестве которого может служить блок данных), которая именует или обозначает атрибуты защиты этого ресурса.

Примечание — Метка и/или присвоенное значение могут быть явными или неявными.

3.3.50    Стратегия защиты — набор критериев для обеспечения услуг защиты (см. также «стратегия защиты, основанная на идентификации» и «стратегия защиты, основанная на правилах*).

Примечание — Полная стратегия защиты неизбежно будет связана с решением многих вопросов, не входящих в сферу ВОС.

3.3.51    Услуга защиты — услуга, предоставляемая каким-либо уровнем взаимосвязанных открытых систем, которая обеспечивает адекватную защиту систем или процедур передачи данных.

3.3.52    Избирательная защита поля — защита конкретных полей внутри сообщения, подлежащего передаче.

3.3.53    Чувствительность — характеристика ресурса, которая определяет его ценность или важность и может учитывать его уязвимость.

3.3.54    Подпись — см. цифровая подпись.

3.3.55    Угроза — потенциальная возможность нарушения защиты.

3.3.56    Анализ трафика — заключение о состоянии информации на основе наблюдения за потоками трафика (наличие, отсутствие, объем, направление и частота).

3.3.57    Конфиденциальность потока трафика — услуга конфиденциальности, предназначенная для защиты от анализа трафика.

3.3.58    Заполнение трафика — генерация фиктивных сеансов обмена данными, фиктивных блоков данных и/или фиктивных данных в составе блоков данных.

3.3.59    Доверительная функциональность — функционирование, которое воспринимается правильным с точки зрения некоторого критерия, например, критерия, предъявляемого посредством стратегии защиты.

4    Обозначения

В настоящем стандарте используют ту же систему обозначений по уровням, что и в ГОСТ Р ИСО/МЭК 7498-1.

Термин «услуга», если не оговорено иное, используют в смысле «услуга защиты*.

5    Общее описание услуг и механизмов защиты

5.1    Общее описание

В данном разделе рассмотрены услуги защиты, включенные в архитектуру защиты ВОС, и механизмы, реализующие эти услуги. Описанные ниже услуги защиты являются базовыми услугами защиты. На практике они должны вызываться на соответствующих уровнях и в соответствующих комбинациях, обычно совместно с услугами и механизмами, не входящими в область распространения ВОС, для обеспечения стратегии защиты и/или удовлетворения требований пользователя. Конкретные механизмы защиты могут использоваться для реализации комбинаций базовых услуг защиты. Практические реализации систем могут использовать для прямого привлечения конкретные комбинации базовых услуг защиты.

5.2    Услуга защиты

Ниже приведено описание услуг защиты, которые могут факультативно обеспечиваться в рамках базовой эталонной модели ВОС. Услуги аутентификации требуют проверки информации аутентификации, включая локально хранимую информацию и передаваемые данные для обеспечения аутентификации (удостоверения личности).

5

5.2.1    Аутентификация

Как описано ниже, эти услуги обеспечивают проверку подлинности равноправного логического объекта и отправителя данных.

5.2.1.1    Аутентификация равноправного логического объекта

Когда эта услуга предоставляется (N)-ypoBneM, она обеспечивает для ^+1)-логического объекта подтверждение того, что равноправный логический объект является заявленным (N+0-ло-гическим объектом.

Эта услуга предоставляется для использования во время установления соединения или в фазе передачи данных по соединению с целью подтверждения идентификаторов одного или нескольких логических объектов, соединенных с одним или несколькими другими логическими объектами. Эга услуга позволяет только в момент ее использования удостовериться в том, что какой-то логический объект не пытался замаскироваться под другой логический объект или несанкционированно воспроизвести предыдущее соединение. Возможно использование вариантов односторонней или взаимной аутентификации равноправного логического объекта с наличием или отсутствием проверки полного отказа и возможностью обеспечения различных степеней защиты.

5.2.1.2    Аутентификация отправителя данных

Когда эта услуга предоставляется (Ы)-уровнем, она обеспечивает для (Ы+1)-логичсского объекта подтверждение того, что отправитель данных является заявленным (N+O-логическим объектом.

Услуга аутентификации отправителя данных обеспечивает подтверждение подлинности отправителя блока данных. Эта услуга не обеспечивает защиту от дублирования или модификации блоков данных.

5.2.2    У правлен ие доступом

Эта услуга обеспечивает защиту от несанкционированного использования ресурсов, доступных через ВОС. Этими ресурсами, доступными через протоколы ВОС, могут быть как ресурсы, используемые в рамках ВОС, так и ресурсы, не входящие в область распространения ВОС. Данная услуга может применяться к различным вилам доступа к ресурсам (например, использование ресурсов средств обмена данными, ресурсов чтения, записи или удаления информации, ресурсов выполнения обработки) или ко всем видам доступа к ресурсам.

Управление доступом должно рассматриваться в соответствии с различными стратегиями защиты (см. 6.2.1.1).

5.2.3    Конфиденциальность данных

Как описано выше, эти услуги обеспечивают защиту данных от их неполномочного раскрытия.

5.2.3.1    Конфиденциальность в режиме с установлением соединения

Эта услуга обеспечивает конфиденциальность всех данных (М)-пользователя, передаваемых по (N)-соединению.

Примечание — В зависимости от использования и уровня, защита всех данных может быть нецелесообразной, например, зашита срочных данных или данных в запросе на установление соединения.

5.2.3.2    Конфиденциальность в режиме без установления соединения

Эта услуга обеспечивает конфиденциальность всех данных (N)-пользователя в одном (М)-СБД, передаваемом в режиме без установления соединения.

5.2.3.3    Конфиденциальность выбранного поля

Эта услуга обеспечивает конфиденциальность выбранных полей в составе данных (^-пользователя, передаваемых по (М)-соединению или в одном (М)-СБД, передаваемом в режиме без установления соединения.

5.2.3.4    Конфиденциальность потока трафика

Эта услуга обеспечивает защиту информации, которая может быть получена в результате наблюдения потоков трафика.

5.2.4    Целостность данных

Эти услуги предотвращают активные угрозы и могут принимать одну из описанных ниже форм.

Примечание—В режиме с установлением соединения использование услуги аутентификации равноправного логического объекта в момент установления соединения и услуги целостности данных во время функционирования соединения может совместно обеспечивать подтверждение подлинности источника всех блоков данных, передаваемых по этому соединению, целостность этих блоков данных и может дополнительно обеспечить обнаружение дублирования блоков данных, например путем использования порядковых номеров.

5.2.4.1 Целостность в режиме с установлением соединения с восстановлением

Эта услуга обеспечивает целостность всех данных (М)-пользоватсля, передаваемых по (N)-co-сдинению, и обнаруживает любую модификацию, вставку, стирание или воспроизведение любых данных внутри полной последовательности СБД (с попыткой восстановления).

ГОСТ Р ИСО 7498-2-99

5.2.4.2    Целостность в режиме с установлением соединения без восстановления

Эта услуга аналогична услуге, описанной в 5.4.2Л, но без попытки восстановления.

5.2.4.3    Целостность выбранного поля в режиме с установлением соединения

Эта услуга обеспечивает целостность выбранных полей внутри данных (N)-пользователя в составе какого-либо (NJ-СБД, передаваемого по соединению, в виде определения формы искажения выбранных полей: модификации, вставки, удаления или воспроизведения.

5.2.4.4    Целостность данных, передаваемых в режиме без установления соединения

Когда эта услуга предоставляется (М)-уровнем, она обеспечивает целостность данных для запрашивающего (N+D-логического объекта.

Эта услуга обеспечивает целостность одного СБД, передаваемого в режиме без установления соединения, и может принимать форму, определяющую, был ли смодифицирован принятый СБД. Дополнительно может быть предусмотрена ограниченная форма обнаружения воспроизведения.

5.2.4.5    Целостность выбранного поля в режиме без установления соединения

Эта услуга обеспечивает целостность выбранных полей внутри одного СБД, передаваемого в режиме без установления соединения, и определяет, были ли смодифицированы выбранные поля.

5.2.5    Безотказность

Эта услуга может принимать одну или обе следующие формы.

5.2.5.1    Безотказность с подтверждением отправитегя

Получатель данных обеспечивается проверкой отправителя данных. Эта услуга защищает от любой попытки отправителя ложно отрицать передачу данных или их содержимое.

5.2.5.2    Безотказность с подтверждением доставки

Передатчик данных обеспечивается подтверждением доставки данных. Эта услуга защищает от любой последующей попытки получателя ложно отрицать получение данных или их содержимое.

5.3 Специальные механизмы защиты

Следующие механизмы могут входить в состав соответствующего (N)-ypoBHB для обеспечения некоторых услуг, описанных в 5.2.

5.3.1    Шифрование

5.3.1.1    Шифрование может обеспечивать конфиденциальность либо данных, либо информации потока трафика, и может принимать участие в дополнении ряда других механизмов защиты, описанных в последующих разделах.

5.3.1.2    Алгоритмы шифрования могут быть обратимыми и необратимыми. Существуют два вида общей классификации обратимых механизмов шифрования:

a)    симметричное шифрование (т.е. секретный ключ), при котором знание ключа шифрования предполагает знание ключа дешифрования, и наоборот;

b)    асимметричное шифрование (т.е. ключ общего пользования), при котором знание ключа шифрования не предполагает знание ключа дешифрования, и наоборот. Два ключа такой системы называются иногда «ключ общего пользования» и «личный ключ».

Алгоритмы необратимого шифрования могут использовать или не использовать ключ. При использовании ключа он может быть общего пользования либо секретным.

5.3.1.3    Наличие механизма шифрования предполагает использование механизма административного управления ключом, за исключением случаев применения некоторых алгоритмов необратимого шифрования. Некоторые основные положения методов административного управления ключом приведены в 8.4.

5.3.2 Механизмы цифровой подписи

Эти механизмы определяют две процедуры:

a)    подпись блока данных;

b)    верификация подписанного блока данных.

Первый процесс использует информацию, которая является личной (т.е. единственной и конфиденциальной) по отношению к подписавшему лицу. Второй процесс использует процедуры и информацию, которые являются общественно доступными, но из которых не может быть выделена личная информация подписавшего лица.

5.3.2.1    Процесс подписания включает либо шифрование блока данных, либо выработку криптографического контрольного значения блока данных путем использования в качестве личного ключа личной информации подписавшего лица.

5.3.2.2    Процесс верификации включает использование процедур и информации общего пользования с целью определения образования подписи с помощью личной информации подписавшего лица.

7