Порядок проектирования защиты

Решение вопросов создания системы безопасности (СБИ) информации должно поручаться лицам одного уровня с лицами, занимающимися вопросами функционирования ИС. У главного конструктора ИС должен быть соответствующий заместитель, профессионально отвечающий за качество СБИ. На всех документах, касающихся изменений ИС, должна быть его виза. Под его руководством должно работать подразделение специалистов, профессионально занимающихся разработкой СБИ ИС. Разработка СБИ требует привлечения специалистов широкого профиля, знающих, кроме системных вопросов, вопросов программного обеспечения, разработки систем, комплексов и отдельных аппаратных средств, специальные вопросы защиты информации. В этом подразделении независимо от масштабов работ должно быть как минимум три направления: анализа ИС на предмет постановки задач СБИ, проектирования СБИ и применения готовых криптографических средств.

Для построения системы защиты информации в комплексе средств автоматизации к началу рабочего проектирования должны быть известны следующие исходные данные:

• назначение и выполняемые функции;

• состав и назначение аппаратных и программных средств;

• структурная или функциональная схема;

• структура и состав информационной базы;

• перечень, время жизни, важность, места размещения и циркуляции сведений, подлежащих защите;

• модель ожидаемого поведения потенциального нарушителя;

• состав, количество и виды внутренних и выходных документов;

• описание функциональных задач прикладного программного обеспечения;

• состав и выполняемые функции должностных лиц – пользователей и обслуживающего персонала;

• режим работы (закрытый или открытый, круглосуточный или с перерывами, оперативный или пакетный);

• способы и средства загрузки программного обеспечения;

• базовые вычислительные средства и их характеристики;

• интенсивность отказов входящих технических средств;

• показатели качества функционального контроля;

• план и условия размещения технических средств на объекте эксплуатации.

Перечисленные данные являются параметрами конкретного объекта автоматизации. Его назначение и выполняемые функции дают первое представление о необходимом уровне защиты информации (например, для военных целей – один уровень, для гражданских – другой и т. д.). Уточняет эту задачу режим работы ИС, а также перечень сведении, подлежащих защите. Состав и назначение аппаратных средств, структурная и функциональная схема, способ загрузки программного обеспечения, план размещения технических средств и другие параметры дают представление о возможных каналах несанкционированного доступа к информации, подлежащей защите.

Перечень сведений, подлежащих защите, состав, количество и виды документов, содержащих эти сведения, дают представление о предмете защиты. Состав и выполняемые функции должностных лиц – пользователей и обслуживающего персонала, структура и состав информационной базы, операционная система программного обеспечения базовых вычислительных средств позволяют построить систему контроля и разграничения доступа к информации, подлежащей защите от преднамеренного НСД. Интенсивность отказов входящих в комплекс технических средств и показатели качества функционального контроля необходимы для оценки эффективности защиты от случайных НСД. План размещения и состав технических средств, а также данные о наличии соответствующих датчиков дают представление о возможности и выборе принципов построения системы контроля вскрытия аппаратуры и системы контроля доступа в помещения объекта эксплуатации ИС При построении системы защиты информации в распределенных информационных системах должны быть известны следующие исходные данные:

• структура, состав, назначение и задачи информационной системы и ее элементов;

• территориальное размещение ее элементов;

• информационные процессы, подлежащие автоматизации;

• задачи и функции управления, их распределение между исполнителями.

• схема информационных потоков и места сосредоточения информации! подлежащей защите;

• структура, состав и размещение информационной базы;

• перечень, размещение, циркуляция, важность и сроки сохранения сведений, подлежащих защите;

• перечень, форма и количество входных, внутренних и выходных документов (при взаимодействии с другими АС);

• режим использования (открытый, закрытый и т.д.);

• вероятностно-временные характеристики обработки сообщений;

• органы управления и их размещение в АС.