Помощничек
Главная | Обратная связь


Археология
Архитектура
Астрономия
Аудит
Биология
Ботаника
Бухгалтерский учёт
Войное дело
Генетика
География
Геология
Дизайн
Искусство
История
Кино
Кулинария
Культура
Литература
Математика
Медицина
Металлургия
Мифология
Музыка
Психология
Религия
Спорт
Строительство
Техника
Транспорт
Туризм
Усадьба
Физика
Фотография
Химия
Экология
Электричество
Электроника
Энергетика

Определение, типизация и стандартизация систем защиты информации



Система защиты информации - совокупность органов и (или) ис­полнителей, используемая ими техника защиты информации, а также объекты защиты, организо­ванные и функционирующие по правилам, установленным соот­ветствующими правовыми, орга­низационно-распорядительными и нормативными документами по защите информации ( ГОСТ Р 30922-96. «Защита инфор­мации. Основные термины и опре­деления»)

Понятие информационной системы делится на:

· объект – информацию создаваемую, хранимую, обрабатываемую, отправляемую или принимаемую;

· субъект – любой пользователь системы, ориентированный как на производственные или иные задача, так и на поддержку самой системы;

· средство работы с информацией – набор аппаратного и программного обеспечения, с помощью которого производится работа в системе.

Введением понятия СЗИ постулируется, что все ресурсы, выде­ляемые для защиты информации, должны объединяться в единую, целостную, функционально самостоятельную систему.

Концептуально важнейшим требованием, предъявляемым к СЗИ, является требование адаптируемости, которое обусловлива­ется, с одной стороны, тем, что многочисленные факторы, влияю­щие на требуемый уровень защиты, могут существенно изменять­ся, а с другой – тем, что сами процессы защиты информации отно­сятся к слабоструктурированным. Управление такого рода процес­сами эффективно только при условии адаптируемости системы.

Помимо этого к СЗИ предъявляются также различные требова­ния функционального, эргономического, экономического, техниче­ского и организационного характера.

Архитектура СЗИ должна быть аналогичной архитектуре защи­щаемой системы и может рассматриваться в функциональном, ор­ганизационном и структурном аспектах.

Функционально СЗИ представляет собой совокупность реали­зуемых ею функций защиты. Организационно она состоит из механизмов обеспечения защиты информации, механизмов управления ими и механизмов общей организации работы системы.

В понятие организационного построения СЗИ входит также рас­пределение ее элементов по организационно-структурным компо­нентам защищаемой системы. Исходя из этого в организационном построении СЗИ должны быть предусмотрены подсистемы защиты в каждом из структурных компонентов и некоторое управляющее звено, которое в специальных публикациях получило название яд­ра СЗИ.

Определим ядро системы защиты как специальный компонент, предназначенный для объединения всех подсистем СЗИ в еди­ную целостную систему для организации, обеспечения и контроля ее функционирования.

С учетом этого функциями ядра СЗИ должны быть:

· организация и обеспечение блокирования бескон­трольного доступа к базам защищаемых данных;

· включение ком­понентов СЗИ в работу при поступлении запросов на обработку защищаемых данных;

· управление работой СЗИ в процессе обра­ботки защищаемых данных;

· организация и обеспечение проверок правильности функционирования СЗИ;

· организация и ведение массивов эталонных данных СЗИ;

· обеспечение реагирования на сигналы о несанкционированных действиях;

· ведение протоколов СЗИ.

Структурно СЗИ строится по аналогии со структурным построе­нием защищаемой системы. Таким образом, ее структурная схема может быть представлена так, как показано на рис. 1.

Рис. 1. Общая структурная схема системы защиты информации.

 

Важное значение для обеспечения надежности и экономичности защиты имеют типизация и стандартизация систем защиты ин­формации. Типизация в этом случае понимается как разработка типовых аппаратных, программных или организационных решений, а также технологических процессов защиты, а стандартизация - как процесс установления и применения стандартов (исходных для сопоставления с ними образцов, эталонов, моделей). Стандарт как нормативно-технический документ определяет комплекс норм, правил, требований к объекту.

Анализ рассматривавшихся концептуальных подхо­дов к защите информации и к архитектурному построению СЗИ по­казывает, что с целью создания наилучших предпосылок для опти­мизации защиты целесообразно выделить три уровня типизации и стандартизации:

· высший - уровень системы защиты в целом;

· средний - уровень составляющих компонентов;

· низший - уровень проектных решений по средствам и механизмам защиты.-

Типизация и стандартизация на высшем и среднем уровнях предполагает некоторую системную классификацию СЗИ, при ко­торой все потенциально необходимые системы делились бы на группы, каждая из которых была бы адекватна некоторым вполне определенным потребностям в защите информации, а вся сово­купность таких групп охватывала бы все потенциально возможные варианты потребностей в защите.

По уровню обеспечи­ваемой защиты все системы защиты информации целесообразно разделить на следующие четыре категории:

1. Системы слабой защиты - рассчитанные на такие системы или объекты, в которых обрабатывается информация, имеющая низкий уровень конфиденциальности.

2. Системы сильной защиты - рассчитанные на системы или объекты, в которых обрабатывается информация, подлежащая защите от несанкционированного доступа, но объемы этой инфор­мации не очень велики, и обрабатывается она эпизодически.

3. Системы очень сильной защиты - рассчитанные на системы или объекты, в которых регулярно обрабатываются большие объ­емы конфиденциальной информации.

4. Системы особой защиты - рассчитанные на системы или объекты, в которых регулярно обрабатывается информация повы­шенной секретности.

По активности реагирования на несанкционированные действия все системы защиты можно разделить на следующие три типа:

1. Пассивные СЗИ, в которых не предусматриваются ни сигнализация о несанкционированных действиях, ни воздействие системы защиты на нарушителя.

2. Полуактивные СЗИ, в которых предусматривается сигнализа­ция о несанкционированных действиях, но не предусматривается воздействие системы на нарушителя.

3. Активные СЗИ, в которых предусматриваются как сигнализа­ция о несанкционированных действиях, так и воздействие системы на нарушителя.

Системы защиты информации каждой категории по уровню защиты могут относиться к разным типам активности реагирования. Однако исходя из здраво­го смысла вряд ли целесообразно строить активные системы сла­бой защиты. В то же время системы особой защиты обязательно должны быть активными. Таким образом, при классификации мож­но говорить об обязательных (О), целесообразных (Ц), нецелесо­образных (НЦ), допустимых (Д) и недопустимых (НД) СЗИ. В итоге получается вариант, приведенный на рис.2.

Рис.2. Допустимые и целесообразные типы СЗИ для различных категорий (* - в отдельных случаях)

 

Защита информации будет обеспечена лишь в том случае, если будут защищены та­кие элементы, как территория, в пределах которой расположены здания и помещения с размещенными в них средствами и ресурсами, используемыми для обработки и хранения защищаемой информации, а также ли­нии (каналы) связи, используемые для сопряжения элементов сис­темы с другими (внешними) объектами.

В этом случае организационно СЗИ может быть представлена совокупностью следующих рубежей защиты:

1. Территория, зани­маемая защищаемой системой или объектом.

2. Здания, располо­женные на территории.

3. Помещения внутри зданий, в которых расположены ресурсы системы и защищаемая информация.

4. Ре­сурсы, используемые для обработки и хранения информации, и сама защищаемая информация.

5. Линии связи, проходящие в пределах одного и того же здания.

6. Линии (каналы) связи, прохо­дящие между различными зданиями, расположенными на одной и той же охраняемой территории.

7. Линии (каналы) связи, проходя­щие по неконтролируемой территории.

Под рубежом защиты в модели понимается соответствующим образом организованная совокупность всех средств, методов и ме­роприятий, используемых на рассматриваемом элементе системы или объекта для защиты информации. Нетрудно видеть, что тем или иным сочетанием перечисленных рубежей может быть пред­ставлена СЗИ практически любой системы или объекта. Каждый из рубежей защиты при этом может быть реализован с помощью ти­повых проектных решений.

Таким образом, можно констатировать, что у нас имеются весь­ма широкие возможности для типизации и стандартизации средств, механизмов и компонентов СЗИ и даже целых СЗИ. Дальнейшее развитие данного вопроса идет в направлении синтеза подходов, изложенных в данном параграфе и предыдущей главе книги.

Информационные системы включают в себя:

· государственные информационные системы - федеральные информационные системы и региональные информационные системы, созданные на основании соответственно федеральных законов, законов субъектов РФ, на основании правовых актов государственных органов;

· муниципальные информационные системы, созданные на основании решения органа местного самоуправления;

· иные информационные системы.

Если иное не установлено федеральными законами, оператором информационной системы является собственник используемых для обработки содержащейся в базах данных информации технических средств, который правомерно пользуется такими базами данных, или лицо, с которым этот собственник заключил договор об эксплуатации информационной системы.

Права обладателя информации, содержащейся в базах данных информационной системы, подлежат охране независимо от авторских и иных прав на такие базы данных.

Требования установленные к государственным информационным системам распространяются на муниципальные информационные системы, если иное не предусмотрено законодательством РФ местном самоуправлении.

Особенности эксплуатации государственных информационных систем и муниципальных информационных систем могут устанавливаться в соответствии с техническими регламентами, нормативными правовыми актами государственных органов, нормативными правовыми актами органов местного самоуправления, принимающих решения о создании таких информационных систем.

Порядок создания и эксплуатации информационных систем, не являющихся государственными информационными системами или муниципальными информационными системами, определяется операторами таких информационных систем в соответствии с требованиями, установленными настоящим Федеральным законом или другими федеральными законами.

Государственные информационные системы создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

Государственные информационные системы создаются с учетом требований, предусмотренных Федеральным законом от 21 июля 2005 года N 94-ФЗ "О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд".

Государственные информационные системы создаются и эксплуатируются на основе статистической и иной документированной информации, предоставляемой гражданами (физическими лицами), организациями, государственными органами, органами местного самоуправления.

Перечни видов информации, предоставляемой в обязательном порядке, устанавливаются федеральными законами, условия ее предоставления - Правительством РФ или соответствующими государственными органами, если иное не предусмотрено федеральными законами.

Если иное не установлено решением о создании государственной информационной системы, функции ее оператора осуществляются заказчиком, заключившим государственный контракт на создание такой информационной системы. При этом ввод государственной информационной системы в эксплуатацию осуществляется в порядке, установленном указанным заказчиком.

Правительство РФ вправе устанавливать обязательные требования к порядку ввода в эксплуатацию отдельных государственных информационных систем.

Не допускается эксплуатация государственной информационной системы без надлежащего оформления прав на использование ее компонентов, являющихся объектами интеллектуальной собственности.

Технические средства, предназначенные для обработки информации, содержащейся в государственных информационных системах, в том числе программно-технические средства и средства защиты информации, должны соответствовать требованиям законодательства Российской Федерации о техническом регулировании.

Информация, содержащаяся в государственных информационных системах, а также иные имеющиеся в распоряжении государственных органов сведения и документы являются государственными информационными ресурсами.

 




©2015 studopedya.ru Все права принадлежат авторам размещенных материалов.