7.5. Управление процессами функционирования систем защиты

Функционирование СЗИ организуется в соответствии с принципа­ми управления защитой информации. Общая модель управления пред­ставлена на рис. 7.10.

Как следует из представленной модели, исходной основой для управления защитой служат планы обработки информации в АСОД, а на основе анализа параметров подлежащей обработке информации обосно­вываются требования к защите информации, которые в самом общем ви­де могут быть выражены вероятностью требуемой защиты /з.тр.

В соответствии с требуемым значением показателя защищенности должны быть определены оптимальные наборы средств защиты (технических, программных, организационных, законодательных, мо­рально-этических), обеспечивающих требуемый уровень защищенности. Обоснование таких наборов средств защиты, вообще говоря, является общей задачей механизмов управления средствами защиты.

Выбранные наборы средств способны обеспечить вполне опреде­ленный ожидаемый уровень защищенности информации Г/'з.ожЛ кото­рый может отличаться от требуемого. Если это отличие будет превышать

Системы защиты информации

допустимое значение (АРдоп), то, очевидно, надо скорректировать вы­бранные наборы средств защиты.

Однако не исключены такие случаи, когда имеющимися средствами требуемый уровень защиты не достигается. Тогда надо или менять планы обработки информации (например, исключать из обработки информа­цию повышенной секретности) и этим самым снижать требуемый уровень защищенности, или идти на риск обработки при недостаточном ее уров­не.

Сформированные по изложенной выше процедуре наборы средств защиты реализуются в процессе автоматизированной обработки инфор­мации. Для определения действительного уровня защищенности должен осуществляться соответствующий контроль. На основе данных контроля определяется показатель действительного уровня защищенности Р₃.д, Этот показатель сопоставляется с требуемым уровнем - /з.тр.. ^и если рас­согласование указанных показателей превышает допустимое значение, то система управления защитой должна отреагировать или изменением на­бора используемых средств защиты, или изменением показателя требуе­мой защищенности.

Указанная модель и должна быть реализована системой управления защитой. В гл. 1 отмечалось, что управление защитой информации яв­ляется частным случаем управления в системах организационно-техно­логического типа. Это обстоятельство существенно облегчает формиро­вание технологии функционирования СЗИ, поскольку для этого доста­точно трансформировать общие положения концепции управления в си­стемах указанного типа применительно к проблемам управления защитой информации.

Как известно (см., например, [22]), основными макропроцессами управления в системах организационно-технологического типа являются планирование, оперативно-диспетчерское управление, календарно-плано-вое руководство выполнением планов и обеспечение повседневной дея­тельности системы управления. При этом различают краткосрочное, среднесрочное и долгосрочное управление. Отличительными особенно­стями названных видов управления применительно к управлению защи­той информации являются следующие:

1) краткосрочное управление: использовать можно лишь те средства защиты, которые включены в состав АСОД и находятся в работоспособ­ном состоянии; в общей совокупности процессов управления большую долю занимают процедуры оперативно-диспетчерского управления, т. е. динамического управления непосредственно в ходе автоматизированной обработки информации; архитектура АСОД (т. е. ее организационное,