Работ по защите информации
Научно-методологическое и документационное обеспечение
Под научно-методологическим обеспечением работ по защите информации понимается организация разработки, издания, распространения и целенаправленного использования официальных документов, научных трудов, учебников и научно-методических материалов, необходимых для однозначного понимания проблем защиты и обеспечения целенаправленного решения всех задач, связанных с защитой информации.
Особую компоненту научно-методологического базиса должна составить система типовых документов по защите информации.
Под типовым понимается такой документ, который отработан корректно, прошел апробацию и утвержден полномочными органами в качестве типового (или, по крайней мере, получивший всеобщее признание в кругу профессиональных специалистов). Какого-либо утвержденного или хотя бы общепризнанного перечня типовых документов по защите информации в настоящее время нет. Однако большой объем работ по защите информации, их многообразие, сложность и большое количество участвующих в их осуществлении дает основания утверждать, что чем лучше будет документационное обеспечение этих работ, тем эффективнее будут решаться все проблемы защиты информации.
Основное назначение документов может быть сформулировано следующим образом:
– обеспечение научно-методологического и концептуального единства при решении всех вопросов защиты информации;
– создание условий для однозначного понимания и практической реализации основных положений унифицированной концепции защиты информации;
– обеспечение необходимыми данными всех органов и лиц, участвующих в защите информации;
– обеспечение нормативно-правового регулирования процессов защиты информации.
В соответствии с рассмотренными здесь принципами максимальной унификации всех решений (включая и концептуальные) по защите информации документы должны образовывать единую упорядоченную систему, которую назовем системой типовых документов по защите информации (СТДЗИ). Структурно СТДЗИ должна представлять собой упорядоченный перечень групп и индексацию (идентификацию) документов, разрабатываемых по вопросам, относящимся к защите информации в АСОД.
Структура системы типовых документов в том виде, как она может быть сформирована на основе анализа развиваемой здесь концепции и подходов к ее реализации, может быть представлена совокупностью четырех групп документов: справочно-информационных, стандартов, руководящих методических материалов (РММ) и инструкций.
В группу справочно-информационных предлагается отнести такие документы, которые в систематизированном виде содержат полную совокупность таких сведений, которые, с одной стороны, необходимы и достаточны для получения четкого и однозначного представления обо всех аспектах проблемы защиты информации, а с другой – были бы признаны подавляющим большинством специалистов профессионалов в области защиты информации.
В качестве основных подгрупп этой группы документов могут быть выделены словари, описания концепции защиты и справочники.
В группу стандартов, естественно, должны быть отнесены такие документы и соответствующие им решения, которые непременно удовлетворяют, по крайней мере, следующим трем требованиям:
– они должны являться образцом, эталоном в смысле совершенства по всем основным параметрам;
– они должны иметь точный сертификат по основным параметрам;
– они должны быть утверждены полномочными органами, причем факт утверждения должен гарантировать пользователям соответствие стандарта своему сертификату.
Стандартов, вообще говоря, может быть много, но все они могут быть разделены на следующие подгруппы:
– концептуальные;
– системы защиты информации;
– механизмы защиты информации;
– средства защиты информации;
– средства контроля защищенности информации;
– защищенные информационные технологии.
К РММ по установившейся практике предлагается отнести совокупность таких документов, которые содержат полное и систематизированное описание соответствующих вопросов, относящихся к защите информации, и утверждены полномочными органами, однако, в отличие от стандартов, утверждение носит лишь рекомендательный характер.
Практика организации и обеспечения работ по созданию автоматизированных систем показывает, что РММ обычно составляют наиболее представительную группу документов, регламентирующих различные аспекты работ. Есть веские основания утверждать, что при широкомасштабном разворачивании работ по защите информации в документационно-методическом их обеспечении РММ также будут занимать большую долю. Этим предопределяется настоятельная необходимость заблаговременного формирования упорядоченного перечня разновидностей РММ и включения его в общую классификационную структуру системы документов по защите информации.
На основе анализа структуры и содержания развиваемой здесь концепции защиты, а также подходов и методов ее реализации предлагается следующий перечень разновидностей РММ:
– вопросы общей методологии защиты информации или концептуальные;
– уязвимость информации и методология ее оценки;
– требования к защите информации и нормы защищенности;
– функции и задачи защиты информации;
– средства защиты информации (общие вопросы);
– технические средства защиты информации;
– программные средства защиты информации;
– организационные средства защиты информации;
– криптографические средства защиты информации;
– механизмы защиты информации;
– системы защиты информации (архитектура и технология функционирования);
– методология проектирования систем защиты информации;
– организация работ по защите информации;
– организационно-правовое обеспечение защиты информации.
– условия, способствующие повышению эффективности защиты информации;
Этот перечень и включается в общую классификационную структуру системы типовых документов по защите информации.
К инструкциям как группе СТДЗИ предлагается отнести систематизированные наборы типовых инструкций для различных категорий подразделений и лиц, имеющих отношение к защите информации. Инструкции должны быть утверждены полномочными органами, причем утверждение дает инструкциям статус типовых, на основе которых на каждом конкретном предприятии (учреждении, заведении) должны разрабатываться и утверждаться соответствующими должностными лицами рабочие инструкции, учитывающие специфику предприятий (учреждений, заведений). При этом, поскольку основными категориями пользователей и лиц, непосредственно связанных с защитой информации, являются пользователи (абоненты) АСОД, сотрудники самой АСОД и служба защиты информации, причем место, заинтересованность, компетентность и ответственность при решении вопросов защиты названных категорий различно, очевидно, целесообразно предусмотреть для каждой из них свою разновидность типовых инструкций.
С учетом вышеизложенного классификационная структура системы типовых документов по защите информации представлена на рис. 5.
Рис. 5. Классификационная структура типовых документов
по защите информации.
Однако чтобы документы по защите информации были системой, а не конгломератом, необходимо предусмотреть единую их идентификацию, причем идентификация должна быть однозначной, информативной и наглядной.
Нетрудно видеть, что в соответствии с рис. 5 однозначность идентификации может быть обеспечена лишь в том случае, если идентификатор будет четырехуровневым, то есть содержать элементы, идентифицирующие последовательно соответственно принадлежность к системе документов по защите, группу документов, подгруппу документов и документ в подгруппе. Чтобы идентификаторы были информативными и наглядными, предлагается первые три их элемента (систему документов, группу документов и подгруппу документов) представить в буквенном мнемоническом выражении, а документы в каждой из подгрупп независимо обозначать последовательными цифровыми номерами. Тогда структуру и содержание идентификатора можно представить так, как показано в таблице 1.
Таблица 1.
Структура и содержание идентификатора СТДЗИ.
| Параметры идентификатора | Значения параметров | ||||||||||||
| Номера позиций | |||||||||||||
| Назначение | Идентификатор системы | Идентификатор группы | Идентификатор подгруппы | Номер документа | |||||||||
| Выражение | Буквенное | Буквенное | Цифровое | Цифровое | |||||||||
| Значения | СТДЗИ | В соответствии со структурой системы документов | 01-99 |
Примем следующие мнемонические обозначения:
СТДЗИ – система типовых документов по защите информации: СИН – справочно-информационные документы; СЛВ – словари; КОН – концептуальные документы; СПР – справочники;
СТН – стандарты: КОН – концептуальные; СЗИ – системы защиты информации; МЗИ – механизмы защиты информации; СРЗ – средства защиты информации; СКЗ – средства контроля и сертификации систем, механизмов и средств защиты; ЗТХ – защищенные информационные технологии;
РММ – руководящие методические материалы: УИН – уязвимость информации и методология ее оценки; ТНЗ – требования к защите информации и нормы защищенности; ФЗИ – функции и задачи защиты; СРЗ – средства защиты информации; ТСЗ – технические средства защиты; ПСЗ – программные средства защиты; ОСЗ – организационные средства защиты; КСЗ – криптографические средства защиты; МЗИ – механизмы защиты информации; СЗИ – система защиты информации; МПС – методология проектирования систем защиты; ОРЗ – организация работ по защите информации; ОПЗ -организационно-правовое обеспечение защиты информации; УСЗ – условия, способствующие повышению эффективности защиты информации;
ИНС – инструкции: ПЛЗ – пользователям (абонентам) АСОД; ДЛЦ – должностным лицам АСОД; СЛЗ – службе защиты информации АСОД.
В соответствии с вышеизложенным, все документы системы можно идентифицировать так, как показано таблице 2.
Таблица 2.
Идентификация системы типовых документов по защите информации.
| УРОВЕНЬ | ИДЕНТИФИКАТОР | |||
| Системы | СТДЗИ-000-000-00 | |||
| Группы | СТДЗИ-СИН-000-00 | СТДЗИ-СТН-000-00 | СТДЗИ-РММ-000-00 | СТДЗИ-ИНС-000-00 |
| Подгруппы | СТДЗИ-СИН-СЛВ-00 | СТДЗИ-СТН-СЗИ-00 | В соответствии с таблицей | СТДЗИ-ИНС-ПЛЗ-00 |
| СТДЗИ-СТН-МЗИ-00 | ||||
| СТДЗИ-СИН-КОН-00 | СТДЗИ-СТН-СРЗ-00 | СТДЗИ-ИНС-ДЛЦ-00 | ||
| СТДЗИ-СТН-СКЗ-00 | ||||
| СТДЗИ-СИН-СПР-00 | СТДЗИ-СТН-КОН-00 | СТДЗИ-ИНС-СЛЗ-00 | ||
| СТДЗИ-СТН-ЗТХ-00 | ||||
| Документ | СТДЗИ-СИН-СЛВ-i1i1 | СТДЗИ-СТН-СЗИ-j1j1 | В соответствии с таблицей | СТДЗИ-ИНС-ПЛЗ-l1l1 |
| СТДЗИ-СТН-МЗИ-j2j2 | ||||
| СТДЗИ-СИН-КОН-i2i2 | СТДЗИ-СТН-СРЗ-j3j3 | СТДЗИ-ИНС-ДЛЦ-l2l2 | ||
| СТДЗИ-СТН-СКЗ-j4j4 | ||||
| СТДЗИ-СИН-СПР-i3i3 | СТДЗИ-CTH-KOH-j5j5 | СТДЗИ-ИНС-СЛЗ-l3l3 | ||
| СТДЗИ-CTH-3TX-j6j6 |
Идентификация РММ приведена в таблице 3.
Таблица 3.
Идентификация руководящих методических материалов
по защите информации.
| Наименование подгрупп РММ | Идентификаторы подгрупп |
| Вопросы общей методологии защиты (концептуальные) | СТДЗИ-PMM-KOH-K1K1 |
| Уязвимость информации и методология ее оценки | СТДЗИ-РММ-УИН-К2К2 |
| Требования к защите информации и нормы защищенности | СТДЗИ-РММ-ТНЗ-К3К3 |
| Функции и задачи защиты | СТДЗИ-РММ-ФЗИ-К4К4 |
| Средства защиты информации (общие вопросы) | СТДЗИ-РММ-СРЗ-К5К5 |
| Технические средства защиты | СТДЗИ-РММ-ТСЗ-К6К6 |
| Программные средства защиты | СТДЗИ-РММ-ПСЗ-К7К7 |
| Организационные средства защиты | СТДЗИ-РММ-ОСЗ-К8К8 |
| Криптографические средства защиты | СТДЗИ-РММ-КСЗ-К9К9 |
| Механизмы защиты информации | СТДЗИ-РММ-МЗИ-К10К10 |
| Системы защиты информации (архитектура и технология функционирования) | СТДЗИ-РММ-СЗИ-К11К11 |
| Методология проектирования систем защиты | СТДЗИ-РММ-МПС-К12К12 |
| Организация работ по защите информации | СТДЗИ-РММ-ОРЗ-К13К13 |
| Организационно-правовое обеспечение защиты информации | СТДЗИ-РММ-ОПЗ-К14К14 |
| Условия, способствующие повышению эффективности защиты | СТДЗИ-РММ-УСЗ-К15К15 |