Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4613 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Учебное пособие 700451.doc
Скачиваний:
23
Добавлен:
01.05.2022
Размер:
7.91 Mб
Скачать
►Содержание►

4.5 Функционально-условный подход к типизации объекта органов государственной власти

При реализации системы защиты информации в любой организации приходится сталкиваться с рядом трудностей, одна из которых – проблема представления объекта защиты. Для минимизации усилий при решение этой проблемы непосредственно на практике, для множества подобных структур используется их типизация. Модель типового объекта позволяет на основе единого источника унифицировать, ускорить и упростить получение структуры любого объекта данного множества, пригодной для применения к ней набора методов и средств для построения системы защиты информации.

В виде множества сходных объектов могут выступать органы государственной власти (ОГВ). Являясь элементом системы управления государством, ОГВ используют в процессе реализации надлежащих им функций информацию, несанкционированное раскрытие, модификация или сокрытие которой может привести к ощутимому убытку или (денежному) ущербу личности, общества, государства (критическую информацию). Также

в виде критической информацией выступают результаты их деятельности, что говорит о ее циркуляции в ОГВ.

В общем, обработка и использование информации осуществляется как людьми непосредственно, так и с помощью средств вычислительной техники (СВТ). Но необходимость быстрого, своевременного и полного получения критической информации при внешнем и внутреннем взаимодействии ОГВ подразумевает наличие систем и средств обработки и передачи информации на основе СВТ. Здесь под внутренним взаимодействием понимается работа внутри отдельного ОГВ, под внешним - система взаимодействия разных ОГВ. Для этого необходимо представление информации в электронном виде, что подразумевает форму представления пригодную, для использования в СВТ.

Сложная структура ОГВ, широкий спектр циркулирующей в них информации, федеральная, региональная, либо муниципальная значимость, а также необходимость их взаимодействия между собой выделяют их в отдельный, критический объект информационной инфраструктуры страны. Что требует наличия для ОГВ, четкого, единого для всех подхода к описанию объекта защиты информации. Также эта необходимость усиливается неполным или не всегда правильным пониманием проблем информационной безопасности в пределах отдельных ОГВ, а иногда и его отсутствием. Основной же недостаток по этому вопросу в данное время - отсутствие хоть как-либо сформировавшегося подхода типизации на множестве ОГВ.

Для реализации адекватной системы защиты информации в органах государственной власти необходимо ответить на 3 основных вопроса: что защищать, чем защищать и от чего защищать. В широком смысле, ответить на первый вопрос достаточно просто. Это могут быть физические границы, территория (здания, этажа, помещения и так далее) органа власти, его интегрированная информационная система или просто циркулирующая в нем информация. Основная сложность возникает при попытках конкретизации для каждого частного случая применительно непосредственно к практике. Тогда появляется достаточно широкий спектр возможных направлений для нахождения ответа на этот вопрос, рассмотреть и проработать, а иногда и выявить, все из них не всегда способны даже специалисты этой области. В то время, если ответ получен, то два оставшихся вопроса не потребуют на себя значительных усилий, что связано с их непосредственной зависимостью и ориентированностью на первый.

Представление о том, что надо защищать, тесно связано с представлением об объекте защиты. Даже для специалиста по защите информации при обеспечении информационной безопасности в ОГВ обнаруживает себя сложность соотношения нормативной части с непосредственным применением ее на практике. Это связано с отсутствием общего для всех документа, определяющего действия и их порядок. В каждом ОГВ на основе существующей нормативной базы в меру своего понимания разрабатываются свои подходы в данной области, что порождает разрозненность и неопределенность при оценке результатов, и при этом затрудняет или делает невозможным переносе опыта полученного при построении систем защиты в других ОГВ, а также при реализации взаимодействий между ними.

Если описание объекта защиты представить как ответ на вопрос: "Что защищать?", то в существующих подходах к обеспечению безопасности информации в ОГВ отвечают на него в последнюю очередь, вначале определяя угрозы и принципы противодействия им. Недостатком данного подхода является то, что при изменении, усовершенствовании или усложнении угроз необходимо будет пересматривать описание объекта защиты. Также, непосредственная зависимость от угроз и средств защиты негативно сказывается на адекватности и своевременности реагирования его на изменения как внешних, так и внутренних условий.

Для определения подхода для типизации объекта ОГВ, необходимо обозначить свойства, которыми должно обладать описание объекта. В первую очередь, необходима зависимость описания объекта только от особенностей ОГВ непосредственно, что подразумевает максимально исключить влияний на описание типовых угроз и средств защиты (сами ОГВ представляют достаточно сложную систему, и применение конкретных решений к ним в общем, не является корректным, в силу их несопоставимости по структуре), а также учет всех важных свойств ОГВ и, при необходимости, возможность расширения. Во-вторых, описание объекта должно приводить структуру ОГВ к такому уровню абстракции, на котором из нормативной сферы появляются более ощутимые элементы, и уже к ним возможно применение типовых решений. В-третьих, необходимо облегчить понимание структуры ОГВ, давая возможность даже не специалисту получить представление о ее критических элементах.[93]

Приняв государство как систему, элементами которой являются ОГВ, становится понятно, что ее функционирование напрямую зависит от правильного функционирования и взаимодействия элементов, а это возможно только при адекватном оперировании в них критической информацией, что подразумевает также обеспечение безопасности этой информации. В свою очередь, для реализации функций элементов системы должны выполняться необходимые условия, без которых невозможна полноценная работа ОГВ, а следовательно и государства в целом. Из этого можно сделать вывод, что в описании объекта за основу надо брать условия, критические для множества элементов, и следующие из их функций.

По оценке Правительственной комиссии по административной реформе сегодня насчитывается более 3900 федеральных функций и услуг, которые должны реализовываться ОГВ. При учете услуг, оказываемых на уровне субъектов Российской Федерации и на уровне муниципальных образований, общее число оказываемых услуг может возрасти многократно. Это потребует обеспечения взаимодействия большого числа независимо разработанных функционально завершенных информационных систем различного назначения.

В результате анализа перечня государственных функций и услуг, закрепленных за органами государственной власти Российской Федерации (протокол заседания Правительственной комиссии по проведению административной реформы от 08.11.2005 г. №45), сделаны выводы о том, что государственные функции и услуги, реализуемые органами государственной власти, можно классифицировать следующим образом:

- оформление и выдача документов, подтверждающих совершение юридически значимых действий;

- государственная регистрация;

- выдача разрешений;

- лицензирование;

- аккредитация;

- проведение проверок деятельности физических и юридических лиц;

- организация и проведение исследований, испытаний, экспертизы, анализа и оценок;

- выдача заключений;

- ведение регистров, реестров, кадастров, перечней и выдача информации из них по запросу;

- работа с обращениями (заявлениями, жалобами и др.) физических и юридических лиц;

- дача разъяснений физическим и юридическим лицам;

- оказание платных информационно-консультационных услуг;

- управление имуществом.

Проведенное функциональное моделирование процессов предоставления услуг показало, что для обеспечения их реализации информационно-технологическая инфраструктура должна реализовывать для каждой услуги следующие типовые технологические операции:

- идентификация, аутентификация запроса, проверка полномочий;

- анализ запроса, авторизация запроса (с точки зрения контента), отнесение его к конкретной выполняемой услуге;

- регистрация запроса с проставлением метки времени третьим лицом (стороной);

- выдача подписанных «электронным нотариусом» квитанции о приеме запроса и инструкций по обязанностям автора запроса, необходимых для выполнения регламента по исполнению услуги;

- направление запроса в министерства и ведомства согласно регламенту по выполнению конкретной услуги;

- постановка на хранение запроса и постановка на контроль исполнения в соответствии с регламентом;

- сбор информации, подписанной органами исполнительной власти (уполномоченными лицами) с регистрацией метки времени третьим лицом (стороной);

- хранение полученной информации;

- формирование электронного документа в соответствии с регламентом;

- регистрация готового документа, хранение документа;

- извещение о готовности документа; обеспечение доступа запрашивающего к документу, предоставление документа в соответствии с регламентом (в зашифрованном виде, в открытом виде);

- снятие с контроля после обращения и архивирование сохраненных данных (запрос, квитанций, информации от органов, документа и протокола выполнения запроса)

На основе данного описания можно обозначить три уровня представления ОГВ как объекта защиты – рисунок 5.1.

Рисунок 5.1 Представление ОГВ

Непосредственно объект является достаточно абстрактным описанием ОГВ, но что в свою очередь не помешало этому закрепиться в нормативной базе страны. К нему сложно применять какие либо методы и средства анализа и классификации, но в основе любого объекта лежат его функции, которые необходимо выполнять. Без реализации предписанных функций становится сомнительным существование самого объекта, а относительно к управлению страной – ставится под угрозу работоспособность всего государства. Соответственно исполняемые объектом функции описывают сам объект. Что позволяет посмотреть на ОГВ под другим углом. В этом случае уже можно выявить относительную конкретизацию исследуемого объекта. На основе функций можно делать выводы о возможной структуре, организации и работе ОГВ, а что самое главное получать начальное представление о предполагаемой защищенности и с способах ее усовершенствования. Но если выполнение функций является основой для работоспособности системы, то для локального элемента, их реализующего, необходим перечень условий, без которых процесс остановится.

Для ОГВ такими условиями выступают технологические операции, являющиеся основой их деятельности, а соответственно и отражающие критический узел анализируемого объекта. С одной стороны представление ОГВ через условия выполнения их функций является чрезмерным упрощением, с другой стороны, данный подход обеспечивает устранение большой степени неопределенности при попытках реализации защиты.

При дальнейшем изучении данного набора технологических операций можно прийти к выводу, что для описания ОГВ как объекта защиты надо представить более конкретизированное определение происходящих взаимодействий. Одним из возможных вариантов такого представления может быть разделение объекта на физическую (здания, помещения), техническую (информационные технологии, необходимые в работе, а точнее их аппаратная часть), программную составляющие, и соответственно персонал.

Обратим особое внимание на технический и программный элементы. Они наиболее подходят к нашей проблеме, а на фоне описанных тенденций развития государства, информационных технологий и необходимости в автоматизации разнообразных повседневных процессов при работе ОГВ будут все больше выдвигаться на передний план при организации защиты информации.

Из полученных технологических операций можно составить графическое представление выполнения функций ОГВ представленное на рисунке 5.2.

Рисунок 5.2 Система реализация функции органами государственной власти

Проанализировав данное представление можно выделить основные блоки, на которые следует обратить внимание при описании объекта. К ним относятся – блок взаимодействия, представления и обработки. На основе этого появляется возможность получить описание на уровне тех средств, для которых уже предоставлен типовой набор реализаций защиты.

Данная схема приближает нас к описанию технической составляющей ОГВ, но не менее важной также является и программная. Но еще при анализе типовых операций нельзя было не заметить, что весь их набор, относительно прикладной области, могут реализовывать описанные программные комплексы систем электронного документооборота. И если в этой составляющей, взяв за основу описания СЭД, все достаточно просто, то аналогичный уровень нужно представить и в аппаратной части.

Используя полученное графическое представление, и выделенные на основе него основные блоки, создается возможность на их основе представить описание объекта в данной составляющей.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности