Объекты защиты информации. Часть 2. Комплексные объекты защиты информации Учебное пособие

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «РЯЗАНСКИЙ ГОСУДАРСТВЕННЫЙ РАДИОТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ»

В.Н. ПРЖЕГОРЛИНСКИЙ

ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ ЧАСТЬ 2

КОМПЛЕКСНЫЕ ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ

Рязань 2014

Министерство образования и науки Российской Федерации

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«Рязанский государственный радиотехнический университет»

В.Н. ПРЖЕГОРЛИНСКИЙ

ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ ЧАСТЬ 2

КОМПЛЕКСНЫЕ ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИИ

Учебное пособие

Рязань 2014

УДК 681.39 ББК 32.811

Объекты защиты информации. Часть 2. Комплексные объекты защиты информации: учеб. пособие / В.Н. Пржегорлинский; Рязан. гос. радиотехн. ун-т. Рязань, 2014. 64 с.

Рассматриваются комплексные объекты защиты информации: автоматизированные системы и объекты информатизации. Приводятся определения этих объектов защиты информации, их классификация, свойства и показатели, объекты защиты в их составе. Рассматриваются основы создания комплексных объектов защиты информации, цели, направления и виды защиты информации в этих объектах.

Предназначена для студентов и аспирантов вузов, обучающихся по направлению (специальностям) «Информационная безопасность», на курсах переподготовки и повышения квалификации по названному направлению, а также для широкого круга специалистов в области информационной безопасности, информатики и вычислительной техники.

Табл. Ил. Библиогр.: назв.

Автоматизированная система в защищенном исполнении, комплекс средств автоматизации автоматизированной системы, персонал автоматизированной системы в защищенном исполнении, показатели автоматизированной системы в защищенном исполнении, объект информатизации, контролируемая зона объекта информатизации, требования о защите информации

Печатается по решению редакционно-издательского совета федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Рязанского государственного радиотехнического университета».

Рецензент: кафедра ВПМ федерального государственного бюджетного образовательного учреждения высшего профессионального образования «Рязанского государственного радиотехнического университета» (зав. кафедрой А.Н. Пылькин)

© Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «Рязанский государственный радиотехнический университет», 2014

6.1.1.Автоматизированная система как организационно-

6.3.Обобщенная структура автоматизированной системы в защи-

щенном исполнении …………..………………….………..…………….

6.4.Свойства и показатели автоматизированной системы в защи-

щенном исполнении …………………………….……………………….

6.5.Создание, функционирование и документирование автоматизированных систем в защищенном исполнении …...…………………… 6.6.Объекты защиты информации в составе автоматизированной системы в защищенном исполнении ………..………….….………………

6.7.Цели, направления и виды защиты информации в автоматизированных системах в защищенном исполнении …………………………

6.8.Требования о защите информации в автоматизированных системах в защищенном исполнении …………………………..…………….

Глава 7. Объект информатизации как объект защиты ……………..……….

7.1.Сущность и определение понятия «объект информатизации» …...

7.2.Контролируемая зона объекта информатизации ………………..…

7.3.Классификация объектов информатизации …………..….…..…….

7.4.Характеристики объектов информатизации ……..…………..…….

7.5.Создание, функционирование и документирование объектов ин-

форматизации ………………………..……..……………………….……

7.6.Объекты защиты информации в составе объектов информати-

зации …………………………………..……………...…………...………

7.7.Цели, направления и виды защиты информации на объектах ин-

форматизации ………….………………………………………...……….

БИБЛИОГРАФИЧЕСКИЙ СПИСОК СПИСОК ТЕРМИНОВ

4

Предисловие

Настоящая часть учебного пособия «Объекты защиты информации», названная «Комплексные объекты защиты информации», является второй и завершающей и включает в себя описание двух видов комплексных объектов защиты информации: автоматизированных систем в защищенном исполнении и объектов информатизации. В этой части раскрывается сущность и приводятся определения названных объектов защиты информации, описываются их компоненты, свойства и характеристики, а также классификация, рассматриваются процессы создания, функционирования и документирования автоматизированных систем в защищенном исполнении и объектов информатизации.

Эта часть учебного пособия состоит из двух глав, включающих в себя разделы, каждый из которых посвящен рассмотрению одной из перечисленных тем и содержит вопросы для текущего контроля знаний. Целью контрольных вопросов является стимулирование творческой активности читателя и самоконтроль полученных знаний.

Автор выражает признательность студентам, оказавшим большую помощь в оформлении настоящей части учебного пособия.

5

ГЛАВА 6 АВТОМАТИЗИРОВАННАЯ СИСТЕМА КАК ОБЪЕКТ ЗАЩИТЫ

ИНФОРМАЦИИ

6.1.Сущность и определение понятий «автоматизированная система»

и«автоматизированная система в защищенном исполнении»

6.1.1.Автоматизированная система как организационно-техническая

система

Как было сказано в разделе 5.1 настоящего учебного пособия, информационный процесс по своей сути является действием, осуществляемым с информацией в информационной системе. Поэтому защита информационного процесса как действия возможна только путем защиты всех его составляющих, к которым относятся и компоненты информационной системы. Именно их защита от различных вредоносных воздействий способна защитить реализуемые в информационной системе информационные процессы. Поэтому информационные системы рассматриваются как комплексные объекты защиты информации.

Основным видом информационных систем в настоящее время являются автоматизированные системы, т. е. информационные системы, функционирование которых осуществляется при обязательном участии человека.

ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» в статье 1.1 устанавливает следующее определение понятия «автоматизированная система»:

«автоматизированная система; АС: Система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций».

В соответствии с этим определением автоматизированная система представляет собой организационно-техническую (социотехническую) систему, обеспечивающую выработку решений на основе автоматизированной реализации информационных процессов в различных сферах деятельности (управление, проектирование, производство и т.д.) или их сочетаниях.

Автоматизированные системы реализуют информационную технологию (в первом понимании ее сущности в соответствии со сказанным в разделе 5.2 части 1 настоящего учебного пособия) в виде определенной последовательности информационно связанных функций, задач или процедур, выполняемых в автоматизированном или автоматическом режимах. Названный ГОСТ 34.003-90 устанавливает следующие определения понятий «функция автоматизированной системы» и «задача автоматизированной системы»:

«функция автоматизированной системы; функция АС: Совокупность действий АС, направленная на достижение определенной цели»;

«задача автоматизированной системы; задача АС: Функция или часть функции АС, представляющая собой формализованную совокупность ав-

6

томатических действий, выполнение которых приводит к результату заданного вида».

Функции автоматизированных систем следует разделять по следующим классификационным признакам:

по непрерывности выполнения;

по возможности разложения на несколько более простых информационно связанных функций;

по режиму выполнения.

По признаку непрерывности выполнения функции автоматизированных систем разделяются на непрерывно выполняемые (непрерывные) функции (Н- функции) и дискретно выполняемые (дискретные) функции (Д-функции).

Непрерывно выполняемая (непрерывная) функция автоматизированной системы (Н-функция АС) – функция АС, выполняющаяся непрерывно, у которой в любой момент времени ее реализации есть результат выполнения.

Дискретно выполняемая (дискретная) функция автоматизированной системы (Д-функция АС) – функция АС, выполняемая по запросу или временному регламенту в течение некоторого интервала времени и выдающая результат своей реализации только по истечении этого интервала.

По признаку возможности разложения на несколько более простых информационно связанных функций функции автоматизированных систем разделяются на простые функции (П-функции) и составные функции (С-функции).

Простая функция автоматизированной системы (П-функция АС) – функция АС, не разложимая на другие функции АС.

Составная функция автоматизированной системы (С-функция АС) – функция АС, являющаяся совокупностью двух и более информационно связанных простых функций АС.

Простая функция автоматизированной системы – это, как правило, функция АС, представляющая собой формализованную совокупность автоматических действий и являющаяся фактически задачей автоматизированной системы, определение которой приведено в подразделе 6.1.1. настоящего раздела.

По режиму выполнения функции автоматизированных систем разделяются на функции, выполняемые в диалоговом режиме, и функции, выполняемые в неавтоматизированном режиме. На основании определений режимов выполнения функций автоматизированной системы, установленных в статьях 4.11 и 4.12 ГОСТ 34.003-90, можно сформулировать следующие определения названных классов функций.

Функция автоматизированной системы, выполняемая в диалоговом режиме (диалоговая функция АС), – функция АС, при выполнении которой человек управляет решением одной или нескольких ее задач, изменяя условия задач и (или) порядок функционирования АС на основе оценки информации, предъявляемой ему средствами технического обеспечения комплекса средств автоматизации АС.

7

Функция автоматизированной системы, выполняемая в неавтоматизированном режиме (неавтоматизированная функция АС), – функция АС, выполняемая только человеком.

Неавтоматизированная функция АС по определению не может включать в себя задачу или совокупность задач автоматизированной системы и, как правило, относится к классу простых дискретных функций автоматизированной системы.

Диалоговая функция АС по определению включает в себя одну или несколько задач автоматизированной системы и может являться как простой, так и составной функцией АС, как непрерывной так и дискретной её функцией.

Простые функции объединяются в составные функции автоматизированной системы при ее создании для удобства пользователей автоматизированной системы. Объединение может осуществляться по общности цели, роли в общем процессе автоматизированной деятельности, используемой информации и другим признакам.

Совокупность всех функций автоматизированной системы можно рассматривать как одну составную функцию, которую можно назвать интегрированной функцией автоматизированной системы (И-функцией АС).

Классификация функций автоматизированной системы на непрерывные и дискретные, простые и составные необходима для оценки (проектной, эксплуатационной) значений показателей автоматизированной системы.

Схема классификации функций автоматизированных систем по трем классификационным признакам представлена на рис. 6.1.

Вцелях достижения комплексной автоматизации какой-либо сложной деятельности или нескольких взаимосвязанных по целям, результатам и исходным данным видов деятельности автоматизированные системы могут объединяться

винтегрированные автоматизированные системы. ГОСТ 34.003-90 в статье 1.2 дает следующее определение интегрированной автоматизированной системы:

«интегрированная автоматизированная система; ИАС: Совокупность двух или более взаимоувязанных АС, в которой функционирование одной из них зависит от результатов функционирования другой (других) так, что эту совокупность можно рассматривать как единую АС».

Всоответствии с определением, установленным в статье 1.1 ГОСТ 34.003-90 и приведенном в начале настоящего раздела, любую автоматизированную систему можно представить состоящей из двух имеющих различную физическую природу частей, представленных на рис. 6.2: «машинной» части, представленной ее комплексом средств автоматизации, и «человеческой» части, представленной ее персоналом.

6.1.2. Комплекс средств автоматизации автоматизированной системы

ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» в статье 2.12 устанавливает следующее определение понятия «комплекс средств автоматизации автоматизированной системы»: