Организационное регулирование защиты информации.

 

В 1992 г. Гостехкомиссия при Президенте Российской Федерации опубликовала пять руководящих документов, посвященных вопросам защиты компьютерных систем:

 

• «Защита от несанкционированного доступа к информации. Термины и определения»;

• «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»;

• «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

• «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;

• «Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты секретной информации от несанкционированного доступа в автоматизированных системах и средства вычислительной техники».

 

Один из основных руководящих документов - «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации». В данном документе выделено девять классов защищенности автоматизированных систем от несанкционированного доступа к информации, а для каждого класса определен минимальный состав необходимых механизмов защиты и требования к содержанию защитных функций каждого из механизмов в каждом из классов систем.

Классы систем разделены на три группы, причем основным критерием деления на группы приняты специфические особенности обработки информации, а именно:

 

третья группа – системы, в которых работает один пользователь, допущенный ко всей обрабатываемой информации, размещенной на носителях одного уровня конфиденциальности. К группе отнесены два класса, обозначенные 3Б и 3А;

 

вторая группа – системы, в которых работает несколько пользователей, которые имеют одинаковые права доступа ко всей информации, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности. К группе отнесены два класса, обозначенные 2Б и 2А;

 

первая группа – многопользовательские системы, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности, причем различные пользователи имеют различные права на доступ к информации. К группе отнесено пять классов: 1Д, 1Г, 1В, 1Б, 1А.

 

Требования к защите растут от систем класса 3Б к классу 1А.

Все механизмы защиты разделены на четыре подсистемы следующего назначения:

 

1. управление доступом;

2. регистрация и учета;

3. криптографическое закрытие;

4. обеспечение целостности.

 

Состав перечисленных подсистем приведен в табл.1, причем знаком (+) обозначена необходимость соответствующих средств для каждой группы.

Наличие рассмотренных методик и закрепление их в официальных документах создает достаточно надежную базу для защиты информации на регулярной основе.

Однако, с точки зрения современной постановки задачи защиты информации, имеющиеся методики являются недостаточными по ряду причин, а именно:

 

1. Они ориентированы на защиту информации только в средствах ЭВТ, в то время как имеет место устойчивая тенденция органического сращивания автоматизированных и традиционных технологий обработки информации;

 

2. Учитываются далеко не все факторы, оказывающие существенное влияние на уязвимость информации, а потому и подлежащие учету при определении требований к защите;

 

3. В научном плане они обоснованы недостаточно (за исключением требований к защите информации от утечки по техническим каналам).

Таблица 1