Объекты защиты информации. Часть 2. Комплексные объекты защиты информации Учебное пособие

20

Определение термина «безопасность информации» приведено в разделе 1.1 главы 1 настоящего учебного пособия.

Функции безопасности информации реализуются в автоматизированной системе в защищенном исполнении средствами, объединенными структурно или функционально в систему (подсистему, комплекс средств) защиты информации, а также организационными мерами, реализуемыми персоналом этой АСЗИ, а в некоторых случаях и другими должностными лицами и службами организации-оператора этой АСЗИ или уполномоченного лица.

Поэтому в состав эксплуатационного персонала автоматизированной системы в защищенном исполнении входят специалисты, осуществляющие обеспечение безопасности информации, обрабатываемой в этой системе. Эти специалисты занимают особое положение среди других специалистов эксплуатационного персонала АСЗИ. Это проявляется в том, что они принимают участие практически во всех действиях, осуществляемых другими специалистами. Кроме этого, они санкционируют выполнение наиболее ответственных действий эксплуатационного персонала автоматизированной системы в защищённом исполнении, а также разрабатывают предложения по назначению прав доступа пользователей и эксплуатационного персонала к компонентам (ресурсам) системы и, в первую очередь, к её информационным ресурсам, а также полномочий на осуществление действий с ресурсами системы.

Кроме всего сказанного, специалисты, осуществляющие обеспечение безопасности информации, обрабатываемой в АСЗИ, осуществляют:

профилактические и регламентные работы по поддержанию работоспособного состояния средств, входящих в систему защиты информации АСЗИ;

работы по контролю эффективности защиты информации, обрабатываемой в АСЗИ и её компонентах;

работы по выводу из состава СЗИ АСЗИ её неработоспособных компонентов, а также компонентов, выработавших свой ресурс или срок службы, или

укоторых закончился срок действия сертификата соответствия требованиям по безопасности информации;

непосредственно или используя услуги других организаций ремонт средств защиты информации и послеремонтное подтверждение их сертификатов соответствия требованиям по безопасности информации;

работы по вводу в состав СЗИ АСЗИ работоспособных средств защиты информации, имеющих действующий сертификат соответствия требованиям по безопасности информации, а также других работоспособных компонентов, взятых из групповых или ремонтных ЗИП или из числа прошедших восстановление;

сертификацию системы защиты информации АСЗИ на соответствие требованиям по безопасности информации или организацию такой сертификации после внесения в состав СЗИ АСЗИ каких-либо изменений или окончания срока действия сертификата на эту СЗИ;

21

подготовку заявок на приобретение компонентов СЗИ АСЗИ для замены тех её компонентов, у которых завершается ресурс или срок службы или срок действия сертификата соответствия требованиям по безопасности информации;

периодический контроль эффективности защиты информации в АСЗИ или организацию такого контроля;

аттестацию АСЗИ или объекта информатизации, включающего в себя АСЗИ, по требованиям безопасности информации или организацию такой аттестации в связи с окончанием срока действия сертификата или внесения изменений (модернизации, развития) АСЗИ;

осуществляют восстановление СЗИ АСЗИ после нарушения её работоспособности по каким-либо причинам;

принимают участие в расследовании случаев нарушения безопасности информации, обрабатываемой в АСЗИ, и принимают меры по устранению их последствий и причин;

сбор и анализ статистики оказания вредоносных воздействий на компоненты АСЗИ с целью подготовки предложений по повышению степени защищённости системы в целом и её отдельных компонентов и последующей их реализации;

консультирование и обучение пользователей и других специалистов эксплуатационного персонала работе в условиях функционирования в составе АСЗИ системы (комплекса средств) защиты информации;

постоянный контроль за обеспечением безопасности информации, обрабатываемой в АСЗИ, c использованием имеющихся в её составе средств (системных журналов и др.);

другие действия по обеспечению безопасности обрабатываемой в АСЗИ информации.

Количество, квалификация и организация деятельности специалистов, осуществляющих обеспечение безопасности информации, определяются при проектировании АСЗИ в зависимости от её характеристик. При этом обязательным требованием к лицам, назначаемым на должности таких специалистов, является наличие высшего или среднего профессионального образования по направлению подготовки «Информационная безопасность» или прохождение переподготовки по направлению «Информационная безопасность».

Вопросы для текущего контроля знаний

1.Какие системы являются в настоящее время основным видом информационных систем ?

2.Дайте определение понятия «автоматизированная система».

3.К какому виду систем относится автоматизированная система ?

4.Дайте определение понятия «функция автоматизированной системы».

5.Дайте определение понятия «задача автоматизированной системы».

6.Назовите классификационные признаки, по которым классифицируют функции автоматизированной системы.

22

7.На какие классы разделяются функции АС по этим классификационным признакам ?

8.Дайте определение функций АС, разделяемых по первому классификационному признаку.

9.Дайте определение функций АС, разделяемых по второму классификационному признаку.

10.Дайте определение функций АС, разделяемых по третьему классификационному признаку.

11.Что такое интегрированная функция автоматизированной системы ?

12.Дайте определение понятия «интегрированная автоматизированная система».

13.Нарисуйте схему классификации функций АС по трём классификационным признакам.

14.Из каких двух частей состоит автоматизированная система ?

15.Что такое «комплекс средств автоматизации автоматизированной сис-

темы» ?

16.Дайте определение:

а) организационного обеспечения АС; б) методического обеспечения АС; в) технического обеспечения АС; г) математического обеспечения АС; д) программного обеспечения АС;

е) информационного обеспечения АС; ж) лингвистического обеспечения АС; з) правового обеспечения АС; и) эргономического обеспечения АС.

17.На какие составные части разделяется программное обеспечение АС ? Дайте определение и примеры этих составных частей.

18.Что является основным средством технического обеспечения АС ?

19.Какие средства занимают особое место в техническом обеспечении

АС ?

20.Что такое «средство контроля эффективности защиты информации» ?

21.Дайте определение понятия «компонент АС».

22.Дайте определение понятия «составная часть АС».

23.Назовите составные части автоматизированной системы.

24.Дайте определения составных частей АС.

25.Что такое «научно-техническая продукция» ?

26.Что такое «продукция производственно-технического назначения» ?

27.Что такое «техническое задание на создание АС» ?

28.Дайте определение понятия «рабочая документация на АС».

29.Что входит в состав комплекса средств автоматизации АС ?

30.Дайте определение понятия «пользователь АС».

31.Дайте определение понятия «эксплуатационный персонал АС».

32.Какие специалисты входят в состав эксплуатационного персонала АС ?

23

33.В каком документе на АС устанавливаются и какие требования к персоналу АС ?

34.Какие требования в области защиты информации требуется устанавливать в техническом задании на создание АС ГОСТ 34.602-89 ?

35.Применимы ли стандарты класса 34 к созданию автоматизированных систем в защищённом исполнении ? Дайте обоснование своего ответа.

36.Благодаря чему появился термин «автоматизированная система в защищённом исполнении» ?

37.Дайте определение понятия «автоматизированная система в защищённом исполнении».

38.Что такое «комплекс технических средств АС» ?

39.Что понимается под работоспособным состоянием средства технического обеспечения АС ?

40.Что такое «восстановление» ?

41.Что осуществляют специалисты, обслуживающие средства технического обеспечения АС ?

42.Что осуществляют специалисты, обеспечивающие сопровождение программного и информационного обеспечений АС ?

43.Назовите администраторов, входящих в эксплуатационный персонал

АС.

44.Дайте определение понятия «система защиты информации автоматизированной системы в защищённом исполнении».

45.Какие функции, кроме функций по обработке информации, выполняет автоматизированная система в защищённом исполнении? Дайте определение этим функциям.

46.В чём заключается особое положение специалистов, осуществляющих обеспечение безопасности информации в АСЗИ ?

47.Назовите основные функции, которые осуществляют специалисты по обеспечению безопасности информации АСЗИ.

48.Назовите обязательные требования к лицам, назначаемым на должности специалистов по обеспечению безопасности информации в АСЗИ.

6.2. Классификация автоматизированных систем

Классификация автоматизированных систем, в том числе автоматизированных систем в защищенном исполнении, осуществляется с целью обеспечения эффективности решения задач создания, моделирования, развития и эксплуатации этих систем на протяжении всего их жизненного цикла и, в первую очередь, задач по обеспечению информационной безопасности процессов создания, модификаци, развития и эксплуатации этих систем. Среди задач обеспечения информационной безопасности наиболее важными являются следующие задачи формирования требований о защите информации:

задача формирования требований о защите информации при создании, модификации, развитии автоматизированной системы и ее составных частей;

24

задача формирования требований о защите информации при эксплуатации автоматизированной системы и ее составных частей.

Определения терминов «жизненный цикл автоматизированной системы» и «развитие автоматизированной системы» ГОСТ 34.003-90 «Информационная система. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения» в статьях 4.1 и 4.2 части 4 устанавливает следующим образом:

«жизненный цикл автоматизированной системы; жизненный цикл АС: Совокупность взаимосвязанных процессов создания и последовательного изменения состояния АС от формирования исходных требований к ней до окончания эксплуатации и утилизации комплекса средств автоматизации АС;»

«развитие автоматизированной системы; развитие АС: Целенаправленное улучшение характеристик и расширение функций АС».

Термин «модификация автоматизированной системы» можно определить следующим образом:

«модификация автоматизированной системы – целенаправленное изменение характеристик и изменение функций АС по какой-либо причине (замены средств технического, программного обеспечений АС, разделение АС на самостоятельные автоматизированные системы и т.п.)».

Под информационной безопасностью процессов создания, модификации, развития автоматизированной системы следует понимать

состояние этих процессов, при котором обеспечивается защищенность следующих составляющих этих процессов от внешних и внутренних вредоносных воздействий:

самих процессов создания, модификации, развития АС (ее составных частей);

создаваемых, модифицируемых, развиваемых автоматизированных систем, находящихся в состояниях, соответствующих состоянию процессов их создания, модификации, развития (результатов этих процессов);

методов, способов, средств и систем, обеспечивающих реализацию процессов создания, модификации, развития АС;

субъектов информационной сферы – участников процессов создания, модификации, развития автоматизированной системы.

В соответствии с определением, установленным в части 2.9.2 статьи 2.9 ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»,

требование о защите информации – это установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.

Автоматизированные системы, в том числе автоматизированные системы в защищенном исполнении, являются одним из основных видов информационных систем, и поэтому они могут классифицироваться по признакам классифи-

25

кации информационных систем, приведенным в разделе 5.4 настоящего учебного пособия. Кроме классификации по этим признакам, для классификации автоматизированных систем используют целый ряд других признаков, позволяющих наиболее эффективно решать задачи создания, модификации, развития и эксплуатации автоматизированных систем и, в первую очередь, задачи формирования перечней требований о защите информации в этих системах, о которых было сказано в начале настоящего раздела.

Классификационные признаки автоматизированных систем (автоматизированных систем в защищенном исполнении) в зависимости от количества учитываемых свойств АС (АСЗИ) разделяются на единичные классификационные признаки и комплексные классификационные признаки.

Единичный классификационный признак автоматизированных систем (автоматизированных систем в защищенном исполнении) – это признак, осуществляющий разделение автоматизированных систем (автоматизированных систем в защищенном исполнении) по значению одного из их свойств.

Комплексный классификационный признак автоматизированных систем (автоматизированных систем в защищенном исполнении) – это признак, осуществляющий разделение автоматизированных систем (автоматизированных систем в защищенном исполнении) по значениям более чем одного из их свойств.

Единичные и комплексные классификационные признаки автоматизированных систем (автоматизированных систем в защищенном исполнении) в зависимости от их применимости к разделению автоматизированных систем (автоматизированных систем в защищенном исполнении) разделяются на инвариантные классификационные признаки и системоориентированные классификационные признаки.

Инвариантный классификационный признак автоматизированных систем (автоматизированных систем в защищенном исполнении) – это признак, применимый для классификации любых автоматизированных систем (автоматизированных систем в защищенном исполнении).

Системоориентированный классификационный признак автоматизированных систем (автоматизированных систем в защищенном исполнении) – это признак, применимый только для классификации автоматизированных систем (автоматизированных систем в защищенном исполнении), обладающих определенным значением (определенными значениями) какого-либо свойства (каких-либо свойств).

Разделение классификационных признаков представлено на рис. 6.3.

27

Инвариантными единичными классифицированными признаками автоматизированных систем (автоматизированных систем в защищенном исполнении) являются: