Объекты защиты информации. Часть 2. Комплексные объекты защиты информации Учебное пособие

10

«комплекс средств автоматизации автоматизированной системы; КСА АС: Совокупность всех компонентов автоматизированной системы, за исключением людей».

Комплекс средств автоматизации автоматизированной системы в общем случае состоит, как показано на рис. 6.2, из рабочей документации и средств следующих видов обеспечений автоматизированной системы: организационного обеспечения, методического обеспечения, технического обеспечения, математического обеспечения, программного обеспечения, информационного обеспечения, лингвистического обеспечения, правового обеспечения, эргономического обеспечения. ГОСТ 34.003-90 в статьях 2.3 – 2.11 устанавливает следующие определения перечисленных видов обеспечений:

«организационное обеспечение автоматизированной системы; организационное обеспечение АС: Совокупность документов, устанавливающих организационную структуру, права и обязанности пользователей и эксплуатационного персонала АС в условиях функционирования, проверки и обеспечения работоспособности АС»;

«методическое обеспечение автоматизированной системы; методическое обеспечение АС: Совокупность документов, описывающих технологию функционирования АС, методы выбора и применения пользователями технологических приемов для получения конкретных результатов при функционировании АС»;

«техническое обеспечение автоматизированной системы; техническое обеспечение АС: Совокупность всех технических средств, используемых при функционировании АС»;

«математическое обеспечение автоматизированной системы; математическое обеспечение АС: Совокупность математических методов, моделей и алгоритмов, примененных в АС»;

«программное обеспечение автоматизированной системы; программное обеспечение АС: Совокупность программ на носителях данных и программных документов, предназначенная для отладки, функционирования и проверки работоспособности АС»;

«информационное обеспечение автоматизированной системы; информационное обеспечение АС: Совокупность форм документов, классификаторов, нормативной базы и реализованных решений по объемам, размещению и формам существования информации, применяемой в АС при ее функционировании»;

«лингвистическое обеспечение автоматизированной системы; лингвистическое обеспечение АС: Совокупность средств и правил для формализации естественного языка, используемых при общении пользователей и эксплуатационного персонала АС с комплексом средств автоматизации при функционировании АС»;

«правовое обеспечение автоматизированной системы; правовое обеспечение АС: Совокупность правовых норм, регламентирующих правовые

11

отношения при функционировании АС и юридический статус результатов ее функционирования»;

«эргономическое обеспечение автоматизированной системы; эргономическое обеспечение АС: Совокупность реализованных решений в АС по согласованию психологических, психофизиологических, антропометрических, физиологических характеристик и возможностей пользователей АС с техническими характеристиками комплекса средств автоматизации АС и параметрами рабочей среды на рабочих местах персонала АС».

Программное обеспечение автоматизированной системы разделяется на общее программное обеспечение и специальное программное обеспечение. ГОСТ 34.003-90 в разделе 6 дает следующие определения названных составных частей программного обеспечения автоматизированной системы:

«общее программное обеспечение автоматизированной системы; ОПО АС: Часть программного обеспечения АС, представляющая собой совокупность программных средств, разработанных вне связи с созданием данной АС»;

«специальное программное обеспечение автоматизированной системы; СПО АС: Часть программного обеспечения АС, представляющая собой совокупность программ, разработанных при создании данной АС».

Обычно общее программное обеспечение автоматизированной системы представляет собой совокупность программ общего назначения, предназначенных для организации вычислительного процесса и решения часто встречающихся задач обработки информации. Примерами таких программ являются: операционные системы, системы управления базами данных, система 1С: Предприятие, комплекс программ Microsoft Office.

Основными средствами технического обеспечения автоматизированной системы являются аппаратные средства вычислительной техники (АСВТ). Ядром АСВТ являются персональные электронные вычислительные машины (ПЭВМ), сервера, электронные вычислительные машины (ЭВМ) высокой производительности и супер-ЭВМ различной архитектуры, локальные и распределенные вычислительные сети. Кроме перечисленных средств, составляющих ядро аппаратных средств вычислительной техники, в состав АСВТ входят аппаратные средства, обеспечивающие взаимодействие между средствами ядра АСВТ: коммутаторы, маршрутизаторы и другое коммутационное оборудование. Кроме АСВТ в состав технического обеспечения автоматизированной системы могут выходить средства оргтехники (сканеры, ксероксы и т.п.), специальные средства отображения информации.

Особое место в составе средств технического обеспечения АС занимает техника защиты информации и, в первую очередь, входящие в нее аппаратные и аппаратно-программные средства защиты информации и средства контроля эффективности защиты информации. Определения понятий «техника защиты информации», «средство защиты информации», «средство контроля и управления доступом», «криптографическое средство защиты информации», «средство

12

физической защиты информации», «средство контроля эффективности защиты информации» приведены в разделе 1.2 главы 1 настоящего учебного пособия.

Важными понятиями при создании и эксплуатации автоматизированной системы являются понятия «компонент автоматизированной системы» и «составная часть автоматизированной системы». Определение первого понятия установлено в статье 2.13 ГОСТ 34.003-90 следующим образом:

«компонент автоматизированной системы; компонент АС: Часть АС, выделенная по определенному признаку или совокупности признаков и рассматриваемая как единое целое».

Определение понятия «составная часть автоматизированной системы» в государственных стандартах класса 34 отсутствует, хотя используется в этих стандартах достаточно часто. На основании анализа сущности, которую закладывают в это понятие при его использовании в стандартах класса 34, можно сформулировать следующее определение:

составная часть автоматизированной системы (составная часть АС)

– компонент автоматизированной системы, приобретаемый или изготовляемый при ее создании и способный функционировать как самостоятельно, так и в составе этой автоматизированной системы.

Составными частями автоматизированной системы могут являться:

комплектующее изделие в автоматизированной системе;

программное изделие в автоматизированной системе;

информационное изделие в автоматизированной системе;

программно-технический комплекс автоматизированной системы;

автоматизированное рабочее место.

ГОСТ 34.003-90 в разделе 2 устанавливает следующие определения перечисленных составных частей АС:

«комплектующее изделие в автоматизированной системе; комплектующее изделие АС: Изделие или единица научно-технической продукции, применяемое как составная часть АС в соответствии с техническими условиями или техническим заданием на него»;

«программное изделие в автоматизированной системе; программное изделие АС: Программное средство, изготовленное, прошедшее испытания установленного вида и поставляемое как продукция производственнотехнического назначения для применения в АС»;

«информационное изделие в автоматизированной системе; информационное изделие АС: Информационное средство, изготовленное, прошедшее испытания установленного вида и поставляемое как продукция производ- ственно-технического назначения для применения в АС»;

«программно-технический комплекс автоматизированной системы; ПТК АС: Продукция, представляющая собой совокупность средств вычислительной техники, программного обеспечения и средств создания и заполнения машинной информационной базы при вводе системы в действие, достаточных для выполнения одной или более задач АС»;

13

«автоматизированное рабочее место; АРМ: Программно-технический комплекс АС, предназначенный для автоматизации деятельности определённого вида».

Наименование (вид) автоматизированного рабочего места обычно определяется по должности пользователя автоматизированной системы, который использует это АРМ для автоматизации своей деятельности. Например, АРМ инженера, АРМ бухгалтера, АРМ обучающегося, АРМ преподавателя и т.п.

Техническое задание на любой объект (составную часть АС, АС в целом) является одним из основных документов в документации на этот объект. Этот документ можно определить следующим образом:

техническое задание на объект – основной документ в документации на объект, определяющий требования и порядок создания (развития, модернизации) объекта, в соответствии с которым проводится проектирование и изготовление объекта, его испытания и приемка при вводе в действие.

Термины «научно-техническая продукция» и «продукция производствен- но-технического назначения» можно определить следующим образом.

Научно-техническая продукция – это научный или научнотехнический результат интеллектуальной деятельности, предназначенный для реализации.

Продукция производственно-технического назначения – это продукция, предназначенная для использования в качестве средств промышленного и сельскохозяйственного производства.

В состав комплекса средств автоматизации автоматизированной системы кроме средств видов обеспечений, перечисленных в начале настоящего подраздела, входит еще один компонент - рабочая документация на автоматизированную систему.

ГОСТ 34.003-90 в статье 5.5 устанавливает следующее определение этого компонента АС:

«рабочая документация на автоматизированную систему; рабочая документация на АС: Комплект проектных документов на АС, разрабатываемый на стадии «Рабочая документация», содержащий взаимосвязанные решения по системе в целом, ее функциям, всем видам обеспечения АС, достаточные для комплектации, монтажа, наладки и функционирования АС, ее проверки и обеспечения работоспособности.

6.1.3. Персонал автоматизированной системы

«Человеческая» часть автоматизированной системы состоит из ее персонала. В соответствии с ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» персонал автоматизированной системы разделяется на две группы.

14

К первой группе персонала АС относятся пользователи автоматизированной системы. ГОСТ 34.003-90 устанавливает следующее определение понятия «пользователь автоматизированной системы»:

«пользователь автоматизированной системы; пользователь АС: Лицо, участвующее в функционировании АС или использующее результаты ее функционирования».

Вторую группу персонала составляет эксплуатационный персонал автоматизированной системы. Определение понятия «эксплуатационный персонал автоматизированной системы» в ГОСТ 34.003-90 отсутствует. Отсутствует оно и в других государственных стандартах класса 34. Учитывая важность однозначного понимания этого понятия читателями настоящего учебного пособия, а также достаточно широкое использование этого понятия в литературе, нормативных, правовых, руководящих и методических документах в области защиты информации, определим понятие «эксплуатационный персонал автоматизированной системы» следующим образом:

эксплуатационный персонал автоматизированной системы (эксплуатационный персонал АС) - должностные лица оператора автоматизированной системы, в обязанности которых входит поддержание в работоспособном состоянии всех средств, входящих в состав комплекса средств автоматизации автоматизированной системы.

Эксплуатационный персонал автоматизированной системы включает в се-

бя:

специалистов, обеспечивающих обслуживание средств технического обеспечения комплекса средств автоматизации АС;

специалистов, обеспечивающих сопровождение программного и информационного обеспечения комплекса средств автоматизации АС;

администраторов автоматизированной системы;

специалистов, осуществляющих обеспечение безопасности информации, обрабатываемой в автоматизированной системе.

Специалисты, обеспечивающие обслуживание средств технического обеспечения АС, осуществляют:

профилактические и регламентные работы по поддержанию работоспособного состояния средств технического обеспечения АС;

работы по выводу из состава КСА АС его неработоспособных средств технического обеспечения и средств технического обеспечения, выработавших свой ресурс или срок службы;

непосредственно или используя услуги других структурных подразделений организации-оператора автоматизированной системы или услуги других организаций ремонт средств технического обеспечения АС;

работы по вводу в состав КСА АС работоспособных средств технического обеспечения, взятых из групповых или ремонтных комплектов запасных частей, инструментов и приборов (комплектов ЗИП) или из числа прошедших восстановление;

15

подготовку заявок на приобретение средств технического обеспечения АС для замены средств, у которых завершается ресурс или срок службы, а также для поддержания комплектности групповых и ремонтных комплектов ЗИП;

другие действия по обеспечению работоспособного состояния комплекса технических средств автоматизированной системы.

Комплекс технических средств автоматизированной системы (КТС АС)– это совокупность всех средств, входящих в техническое обеспечение автоматизированной системы.

Под работоспособным средством технического обеспечения АС в соответствии с ГОСТ 27.002-89 «Надежность в технике. Основные понятия. Термины и определения» понимается

средство, находящееся в работоспособном состоянии, при котором значения всех параметров, характеризующих способность выполнять заданные функции, соответствуют требованиям нормативно-технической и (или) конструкторской документации.

Восстановление в статье 5.2 ГОСТ 27.002-89 определяется как

«Процесс перевода объекта в работоспособное состояние из неработоспособного состояния».

Количество и организация деятельности специалистов, обеспечивающих обслуживание средств технического обеспечения КСА АС, определяются при проектировании АС в зависимости от количества и сложности обслуживаемых ими средств, режимов работы АС, сложности и критичности выполняемых системой функций.

Специалисты, обеспечивающие сопровождение программного и информационного обеспечений АС, осуществляют:

установку средств программного и информационного обеспечений на вновь вводимые в состав КСА АС (в состав комплекса технических средств АС) средства технического обеспечения и настройку этих установленных средств;

удаление (уничтожение) средств программного и информационного обеспечений с выводимых из состава КТС АС средств технического обеспечения;

обновление средств программного обеспечения;

участие в восстановлении средств программного и информационного обеспечений при нарушении их функционирования в результате отказов средств технического обеспечения, ошибок персонала АС, преднамеренных и непреднамеренных вредоносных воздействий на автоматизированную систему;

другие действия, определяемые специфическими особенностями программного и информационного обеспечений АС.

Администраторами автоматизированной системы являются:

администраторы системы;

администраторы баз данных информационного обеспечения АС;

администраторы Web-порталов АС;

16

администраторы других компонентов АС, определяемые при проектировании системы.

Деятельность любого из администраторов автоматизированной системы направлена на управление функционированием компонента (компонентов) АС, входящего (входящих) в зону его ответственности, с целью обеспечения его (их) использования, при котором обеспечивается заданный при проектировании уровень эффективности всей автоматизированной системы.

Количество, зоны ответственности и организация деятельности администраторов АС определяются так же, как и для других специалистов из эксплуатационного персонала автоматизированной системы.

Деятельность специалистов, осуществляющих обеспечение безопасности информации, обрабатываемой в автоматизированной системе, будет рассматриваться в следующем подразделе настоящего раздела.

Требования к персоналу автоматизированной системы устанавливаются в техническом задании на создание этой системы. В нем устанавливаются требования:

к численности персонала (пользователей и эксплуатационного персона-

ла);

квалификации персонала;

порядку и содержанию подготовки персонала к работе в составе автоматизированной системы;

порядку контроля у персонала знаний, умений и навыков, необходимых для работы в составе автоматизированной системы в зависимости от зоны ответственности каждого из представителей персонала.

6.1.4. Автоматизированная система в защищенном исполнении

Начиная с конца 90-х годов прошлого века в литературе, нормативных правовых, руководящих и методических документах, посвященных защите информации, стал широко использоваться термин «автоматизированная система в защищенном исполнении», который можно определить следующим образом:

автоматизированная система в защищенном исполнении (АСЗИ) - автоматизированная система, реализующая информационную технологию выполнения установленных функций в соответствии с требованиями стандартов и (или) нормативных правовых документов в области защиты информации.

Появление и широкое использование термина «автоматизированная система в защищенном исполнении» было обусловлено необходимостью выполнения требований законодательства Российской Федерации, нормативных, правовых, руководящих и методических документов в области защиты информации.

Так, уже в ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы», введенном в действие с 01.01.90 г., была установлена необходимость включения в подраздел технического задания на создание

17

автоматизированной системы, устанавливающей требования к АС в целом, требований:

к защите информации от несанкционированного доступа;

по сохранности информации при авариях;

к защите от влияния внешних воздействий.

Названные положения ГОСТ 34.602-89 фактически указывают на то, что начиная с 1990 года все созданные в соответствии со стандартами класса 34 «Информационная технология. Комплекс стандартов на автоматизированные системы» автоматизированные системы уже представляли собой, по сути, автоматизированные системы в защищенном исполнении. Поэтому все установленное в стандартах класса 34 «Информационная технология. Комплекс стандартов на автоматизированные системы» полностью применимо и к автоматизированным системам в защищенном исполнении несмотря на то, что в них не вводятся даже такие основополагающие понятия, как «средство защиты информации», «система защиты информации» и «требование о защите информации». Разработанные и введенные в действие в 90-х годах прошлого века руководящие документы Гостехкомиссии России (1992 г.), государственные стандарты Российской Федерации ГОСТ Р 50922, ГОСТ Р 51275, ГОСТ Р 51241 и другие в определенной мере дополнили стандарты класса 34 «Информационная технология. Комплекс стандартов на автоматизированные системы» в части терминологии и положений в области защиты информации в автоматизированных системах. В первом десятилетии 2000-х годов были введены в действие и другие стандарты Российской Федерации и международные стандарты в области защиты информации, приняты нормативные правовые акты Президента Российской Федерации, Правительства Российской Федерации, введены в действие правовые, руководящие и методические документы ФСТЭК России, ФСБ России в этой области.

Все эти документы в совокупности со стандартами класса 34 «Информационная технология. Комплекс стандартов на автоматизированные системы» создали нормативную базу для создания автоматизированных систем, соответствующих современным требования обеспечения безопасности обрабатываемой в них информации. Поэтому стандарты класса 34 «Информационная технология. Комплекс стандартов на автоматизированные системы», разработанные в конце 80-х годов прошлого века, являются актуальными и в настоящее время и используются при создании автоматизированных систем в защищенном исполнении.

В настоящее время любая автоматизированная система должна создаваться как автоматизированная система в защищенном исполнении. Это обусловлено тем, что законодательство Российской Федерации требует обеспечения защиты как общедоступной информации, так и информации ограниченного доступа.

Первым федеральным законом, установившим требование обязательной защиты любой информации, был Федеральный закон от 20.02.95 № 24-ФЗ «Об информации, информатизации и защите информации». Часть 1 статьи 21 этого Федерального закона устанавливала:

18

«Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу».

Названный Федеральный закон был также первым в законодательстве Российской Федерации, который регулировал отношения, возникающие при формировании и использовании информационных ресурсов, создании и использовании информационных технологий и средств их обеспечения, защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

Несмотря на многие недостатки этого Федерального закона, он сыграл решающую роль в зарождении и становлении системы отечественных нормативных правовых актов, руководящих и методических документов, устанавливающих требования о защите информации в информационных (в первую очередь, автоматизированных) системах и объектах информатизации. Появление термина «автоматизированная система в защищенном исполнении» во многом обязано именно этому Федеральному закону.

Важную роль в дальнейшем развитии системы отечественных нормативных правовых актов, руководящих и методических документов о защите информации сыграл пришедший на смену Федеральному закону от 20.02.95 № 24ФЗ в 2006 году Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», действующий и в настоящее время. Этот новый Федеральный закон регламентирует отношения, возникающие при осуществлении права на поиск, получение, передачу, производство и распространение информации, при применении информационных технологий и обеспечении защиты информации. В нем установлено разделение информационных систем на федеральные, региональные, муниципальные и иные информационные системы, позволившее дифференцированно подходить к установлению требований о защите информации в информационных системах. Это разделение информационных систем обусловило появление новых документов в системе отечественных нормативных правовых актов, руководящих и методических документов о защите информации. В Федеральном законе «Об информации, информационных технологиях и о защите информации» более детально определены положения о защите информации. Так, статья 16 названного Федерального закона устанавливает:

«1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

1)обеспечение защиты информации от несанкционированного доступа, уничтожения, модификации, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2)соблюдение конфиденциальности информации ограниченного доступа;

3)реализацию права на доступ к информации.

19

2.Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3.Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1 настоящей статья.

…

5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям».

Для обеспечения защиты информации, а также защиты других объектов защиты информации, входящих в автоматизированную систему в защищенном исполнении, в ее состав включают либо как структурный компонент, либо как функциональный компонент, систему (подсистему, комплекс средств) защиты информации, назначением которой (которого) является обеспечение безопасности информации, обрабатываемой в этой АСЗИ. Понятие «система защиты информации автоматизированной системы в защищенном исполнении» можно определить следующим образом:

система защиты информации автоматизированной системы в защищенном исполнении (система защиты информации; СЗИ; СЗИ АСЗИ) - определенным образом организованная совокупность аппаратных, программных, программно-аппаратных и других средств защиты информации, средств контроля эффективности защиты информации, а также в определенных случаях, средств и систем охраны, обеспечения пожарной безопасности, контроля и управления доступом.

Определения понятий «средство защиты информации», «средство контроля и управления доступом», «средство контроля эффективности защиты информации» приведены в разделе 1.2 главы 1 настоящего учебного пособия.

Кроме функций по обработке информации, автоматизированная система в защищенном исполнении выполняет совокупность функций, целью которых является обеспечение безопасности информации, обрабатываемой в этой автоматизированной системе.

Функции автоматизированной системы в защищенном исполнении, целью которых является обеспечение безопасности информации, обрабатываемой в этой АСЗИ, называют функциями обеспечения безопасности информации или сокращенно функциями безопасности.