На сегодняшний день защита информации регламентируют следующие нормативные документы гос.тех.комисии:
требования к защите средств вычислительной техники. Содержит требования к защите отдельно взятого средства (операционная система, СУБД)
требования к защите автоматизированных систем. Содержит требования к защите объекта в целом.
при этом нужно отметить, что приложения, как правило используют механизмы защиты ОС. Что касается СУБД, то в них имеются дополнительные механизмы, которые дополняют механизмы защиты ОС. ОС защищает такие объекты, как файлы, папки. В СУБД, таблицы расположены могут в одном файле, т.е. получается что в общем виде нельзя управлять доступом к БД только механизмами ОС. В этом документе, существует несколько групп автоматизированных систем, мы будем рассматривать только 1-ую которая включает в себя наиболее распрастраненные многопользовательские системы, в которых хранятся или обрабатываются информация о разной степени конфиденциальной информации. Содержит 5 классов: 1д, 1г, 1в, 1б, 1а.
Из этой таблицы следует что первая группа подсистемы управления доступа является основополагающим, для защиты от несанкционированного доступа, т.к. именно механизмы этой группы непосредственно противодействуют несанкционированному доступу к информации. Остальные механизмы используются для того, чтобы противодействовать злоумышленникам, если они преодолеют механизмы 1-ой группы. В частности они могут использоваться:
Для контроля действия пользователей(группа 2)
Для противодействия возможности прочтения похищенной информации.(группа 3)
Для контроля осуществленных злоумышленником изменений защищаемых объектов (Группа 4).
Рассмотрим более подробное требование различных групп реализуемое на сегодняшний день на практике. На примере групп 1В и 1Г. Группа 1Г задает минимальные требования для обработки конфиденциальной информации. А группа 1В задает минимальные требования к защите информации являющейся собственностью государства и отнесенной к категории секретно.