Определение, типизация и стандартизация систем защиты информации

Понятие информационной системы делится на:

· объект – информацию создаваемую, хранимую, обрабатываемую, отправляемую или принимаемую;

· субъект – любой пользователь системы, ориентированный как на производственные или иные задача, так и на поддержку самой системы;

· средство работы с информацией – набор аппаратного и программного обеспечения, с помощью которого производится работа в системе.

Введением понятия СЗИ постулируется, что все ресурсы, выде­ляемые для защиты информации, должны объединяться в единую, целостную, функционально самостоятельную систему.

Концептуально важнейшим требованием, предъявляемым к СЗИ, является требование адаптируемости, которое обусловлива­ется, с одной стороны, тем, что многочисленные факторы, влияю­щие на требуемый уровень защиты, могут существенно изменять­ся, а с другой – тем, что сами процессы защиты информации отно­сятся к слабоструктурированным. Управление такого рода процес­сами эффективно только при условии адаптируемости системы.

Помимо этого к СЗИ предъявляются также различные требова­ния функционального, эргономического, экономического, техниче­ского и организационного характера.

Архитектура СЗИ должна быть аналогичной архитектуре защи­щаемой системы и может рассматриваться в функциональном, ор­ганизационном и структурном аспектах.

Функционально СЗИ представляет собой совокупность реали­зуемых ею функций защиты. Организационно она состоит из механизмов обеспечения защиты информации, механизмов управления ими и механизмов общей организации работы системы.

В понятие организационного построения СЗИ входит также рас­пределение ее элементов по организационно-структурным компо­нентам защищаемой системы. Исходя из этого в организационном построении СЗИ должны быть предусмотрены подсистемы защиты в каждом из структурных компонентов и некоторое управляющее звено, которое в специальных публикациях получило название яд­ра СЗИ.

Определим ядро системы защиты как специальный компонент, предназначенный для объединения всех подсистем СЗИ в еди­ную целостную систему для организации, обеспечения и контроля ее функционирования.

С учетом этого функциями ядра СЗИ должны быть:

· организация и обеспечение блокирования бескон­трольного доступа к базам защищаемых данных;

· включение ком­понентов СЗИ в работу при поступлении запросов на обработку защищаемых данных;

· управление работой СЗИ в процессе обра­ботки защищаемых данных;

· организация и обеспечение проверок правильности функционирования СЗИ;

· организация и ведение массивов эталонных данных СЗИ;

· обеспечение реагирования на сигналы о несанкционированных действиях;

· ведение протоколов СЗИ.

Структурно СЗИ строится по аналогии со структурным построе­нием защищаемой системы. Таким образом, ее структурная схема может быть представлена так, как показано на рис. 1.

Рис. 1. Общая структурная схема системы защиты информации.

Важное значение для обеспечения надежности и экономичности защиты имеют типизация и стандартизация систем защиты ин­формации. Типизация в этом случае понимается как разработка типовых аппаратных, программных или организационных решений, а также технологических процессов защиты, а стандартизация - как процесс установления и применения стандартов (исходных для сопоставления с ними образцов, эталонов, моделей). Стандарт как нормативно-технический документ определяет комплекс норм, правил, требований к объекту.

Анализ рассматривавшихся концептуальных подхо­дов к защите информации и к архитектурному построению СЗИ по­казывает, что с целью создания наилучших предпосылок для опти­мизации защиты целесообразно выделить три уровня типизации и стандартизации:

· высший - уровень системы защиты в целом;

· средний - уровень составляющих компонентов;

· низший - уровень проектных решений по средствам и механизмам защиты.-

Типизация и стандартизация на высшем и среднем уровнях предполагает некоторую системную классификацию СЗИ, при ко­торой все потенциально необходимые системы делились бы на группы, каждая из которых была бы адекватна некоторым вполне определенным потребностям в защите информации, а вся сово­купность таких групп охватывала бы все потенциально возможные варианты потребностей в защите.

По уровню обеспечи­ваемой защиты все системы защиты информации целесообразно разделить на следующие четыре категории:

1. Системы слабой защиты - рассчитанные на такие системы или объекты, в которых обрабатывается информация, имеющая низкий уровень конфиденциальности.

2. Системы сильной защиты - рассчитанные на системы или объекты, в которых обрабатывается информация, подлежащая защите от несанкционированного доступа, но объемы этой инфор­мации не очень велики, и обрабатывается она эпизодически.

3. Системы очень сильной защиты - рассчитанные на системы или объекты, в которых регулярно обрабатываются большие объ­емы конфиденциальной информации.

4. Системы особой защиты - рассчитанные на системы или объекты, в которых регулярно обрабатывается информация повы­шенной секретности.

По активности реагирования на несанкционированные действия все системы защиты можно разделить на следующие три типа:

1. Пассивные СЗИ, в которых не предусматриваются ни сигнализация о несанкционированных действиях, ни воздействие системы защиты на нарушителя.

2. Полуактивные СЗИ, в которых предусматривается сигнализа­ция о несанкционированных действиях, но не предусматривается воздействие системы на нарушителя.

3. Активные СЗИ, в которых предусматриваются как сигнализа­ция о несанкционированных действиях, так и воздействие системы на нарушителя.

Системы защиты информации каждой категории по уровню защиты могут относиться к разным типам активности реагирования. Однако исходя из здраво­го смысла вряд ли целесообразно строить активные системы сла­бой защиты. В то же время системы особой защиты обязательно должны быть активными. Таким образом, при классификации мож­но говорить об обязательных (О), целесообразных (Ц), нецелесо­образных (НЦ), допустимых (Д) и недопустимых (НД) СЗИ. В итоге получается вариант, приведенный на рис.2.

Рис.2. Допустимые и целесообразные типы СЗИ для различных категорий (* - в отдельных случаях)

Защита информации будет обеспечена лишь в том случае, если будут защищены та­кие элементы, как территория, в пределах которой расположены здания и помещения с размещенными в них средствами и ресурсами, используемыми для обработки и хранения защищаемой информации, а также ли­нии (каналы) связи, используемые для сопряжения элементов сис­темы с другими (внешними) объектами.

В этом случае организационно СЗИ может быть представлена совокупностью следующих рубежей защиты:

1. Территория, зани­маемая защищаемой системой или объектом.

2. Здания, располо­женные на территории.

3. Помещения внутри зданий, в которых расположены ресурсы системы и защищаемая информация.

4. Ре­сурсы, используемые для обработки и хранения информации, и сама защищаемая информация.

5. Линии связи, проходящие в пределах одного и того же здания.

6. Линии (каналы) связи, прохо­дящие между различными зданиями, расположенными на одной и той же охраняемой территории.

7. Линии (каналы) связи, проходя­щие по неконтролируемой территории.

Под рубежом защиты в модели понимается соответствующим образом организованная совокупность всех средств, методов и ме­роприятий, используемых на рассматриваемом элементе системы или объекта для защиты информации. Нетрудно видеть, что тем или иным сочетанием перечисленных рубежей может быть пред­ставлена СЗИ практически любой системы или объекта. Каждый из рубежей защиты при этом может быть реализован с помощью ти­повых проектных решений.

Таким образом, можно констатировать, что у нас имеются весь­ма широкие возможности для типизации и стандартизации средств, механизмов и компонентов СЗИ и даже целых СЗИ. Дальнейшее развитие данного вопроса идет в направлении синтеза подходов, изложенных в данном параграфе и предыдущей главе книги.

Информационные системы включают в себя:

· государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов;

· муниципальные информационные системы, созданные на основании решения органа местного самоуправления;

· иные информационные системы.

Если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.

Права обладателя информации, содержащейся в базах данных информационной системы, подлежат охране независимо от авторских и иных прав на такие базы данных.

Требования установленные к государственным информационным системам распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством РФ местном самоуправлении.

Особенности эксплуатации государственных информационных систем и муниципальных информационных систем могут устанавливаться в соответствии с техническими регламентами, нормативными правовыми актами государственных органов, нормативными правовыми актами органов местного самоуправления, принимающих решения о создании таких информационных систем.

Порядок создания и эксплуатации информационных систем, не являющихся государственными информационными системами или муниципальными информационными системами, определяется операторами таких информационных систем в соответствии с требованиями, установленными настоящим Федеральным законом или другими федеральными законами.

Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

Государственные информационные системы создаются с учетом требований, предусмотренных Федеральным законом от 21 июля 2005 года N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд".

Государственные информационные системы создаются и эксплуатируются на основе статистической и иной документированной информации, предоставляемой гражданами (физическими лицами), организациями, государственными органами, органами местного самоуправления.

Перечни видов информации, предоставляемой в обязательном порядке, устанавливаются федеральными законами, условия ее предоставления - Правительством РФ или соответствующими государственными органами, если иное не предусмотрено федеральными законами.

Если иное не установлено решением о создании государственной информационной системы, функции ее оператора осуществляются заказчиком, заключившим государственный контракт на создание такой информационной системы. При этом ввод государственной информационной системы в эксплуатацию осуществляется в порядке, установленном указанным заказчиком.

Правительство РФ вправе устанавливать обязательные требования к порядку ввода в эксплуатацию отдельных государственных информационных систем.

Не допускается эксплуатация государственной информационной системы без надлежащего оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.

Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.

Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами.