Работ по защите информации

Научно-методологическое и документационное обеспечение

 

Под научно-методологическим обеспечением работ по защите ин­формации понимается организация разработки, издания, распростране­ния и целенаправленного использования официальных документов, на­учных трудов, учебников и научно-методических материалов, необходи­мых для однозначного понимания проблем защиты и обеспечения целе­направленного решения всех задач, связанных с защитой информации.

Особую компоненту научно-методологического базиса должна со­ставить система типовых документов по защите информации.

Под типовым понимается такой документ, который отработан кор­ректно, прошел апробацию и утвержден полномочными органами в ка­честве типового (или, по крайней мере, получивший всеобщее признание в кругу профессиональных специалистов). Какого-либо утвержденного или хотя бы общепризнанного перечня типовых документов по защите ин­формации в настоящее время нет. Однако большой объем работ по защи­те информации, их многообразие, сложность и большое количество уча­ствующих в их осуществлении дает основания утверждать, что чем лучше будет документационное обеспечение этих работ, тем эффективнее будут решаться все проблемы защиты информации.

Основное назначение документов может быть сформулировано сле­дующим образом:

– обеспечение научно-методологического и концептуального единства при решении всех вопросов защиты информации;

– создание условий для однозначного понимания и практической реализации основных положений унифицированной концепции защиты информации;

– обеспечение необходимыми данными всех органов и лиц, уча­ствующих в защите информации;

– обеспечение нормативно-правового регулирования процессов защиты информации.

В соответствии с рассмотренными здесь принципами максимальной унификации всех решений (включая и концептуальные) по защите ин­формации документы должны образовывать единую упорядоченную си­стему, которую назовем системой типовых документов по защите инфор­мации (СТДЗИ). Структурно СТДЗИ должна представлять собой упоря­доченный перечень групп и индексацию (идентификацию) документов, разрабатываемых по вопросам, относящимся к защите информации в АСОД.

Структура системы типовых документов в том виде, как она может быть сформирована на основе анализа развиваемой здесь концепции и подходов к ее реализации, может быть представлена совокупностью че­тырех групп документов: справочно-информационных, стандартов, руко­водящих методических материалов (РММ) и инструкций.

В группу справочно-информационных предлагается отнести такие документы, которые в систематизированном виде содержат полную сово­купность таких сведений, которые, с одной стороны, необходимы и до­статочны для получения четкого и однозначного представления обо всех аспектах проблемы защиты информации, а с другой – были бы признаны подавляющим большинством специалистов профессионалов в области защиты информации.

В качестве основных подгрупп этой группы доку­ментов могут быть выделены словари, описания концепции защиты и справочники.

В группу стандартов, естественно, должны быть отнесены такие до­кументы и соответствующие им решения, которые непременно удовлет­воряют, по крайней мере, следующим трем требованиям:

– они должны являться образцом, эталоном в смысле совершенства по всем основным параметрам;

– они должны иметь точный сертификат по основным па­раметрам;

– они должны быть утверждены полномочными органами, причем факт утверждения должен гарантировать пользователям соответ­ствие стандарта своему сертификату.

Стандартов, вообще говоря, может быть много, но все они могут быть разделены на следующие подгруппы:

– концептуальные;

– системы защиты информации;

– механизмы защиты ин­формации;

– средства защиты информации;

– средства контроля защищен­ности информации;

– защищенные информационные технологии.

К РММ по установившейся практике предлагается отнести сово­купность таких документов, которые содержат полное и систематизиро­ванное описание соответствующих вопросов, относящихся к защите ин­формации, и утверждены полномочными органами, однако, в отличие от стандартов, утверждение носит лишь рекомендательный характер.

Практика организации и обеспечения работ по созданию автомати­зированных систем показывает, что РММ обычно составляют наиболее представительную группу документов, регламентирующих различные ас­пекты работ. Есть веские основания утверждать, что при широкомас­штабном разворачивании работ по защите информации в документационно-методическом их обеспечении РММ также будут занимать большую долю. Этим предопределяется настоятельная необходимость заблаговре­менного формирования упорядоченного перечня разновидностей РММ и включения его в общую классификационную структуру системы докумен­тов по защите информации.

На основе анализа структуры и содержания развиваемой здесь кон­цепции защиты, а также подходов и методов ее реализации предлагается следующий перечень разновидностей РММ:

– вопросы общей методологии защиты информации или концептуальные;

– уязвимость информации и ме­тодология ее оценки;

– требования к защите информации и нормы защи­щенности;

– функции и задачи защиты информации;

– средства защиты ин­формации (общие вопросы);

– технические средства защиты информации;

– программные средства защиты информации;

– организационные средства защиты информации;

– криптографические средства защиты информации;

– механизмы защиты информации;

– системы защиты информации (архитектура и технология функционирования);

– методология проектиро­вания систем защиты информации;

– организация работ по защите инфор­мации;

– организационно-правовое обеспечение защиты информа­ции.

– условия, способствующие повышению эффективности защиты информации;

Этот перечень и включается в общую классификационную структу­ру системы типовых документов по защите информации.

К инструкциям как группе СТДЗИ предлагается отнести системати­зированные наборы типовых инструкций для различных категорий под­разделений и лиц, имеющих отношение к защите информации. Инструк­ции должны быть утверждены полномочными органами, причем утверж­дение дает инструкциям статус типовых, на основе которых на каждом конкретном предприятии (учреждении, заведении) должны разрабаты­ваться и утверждаться соответствующими должностными лицами рабо­чие инструкции, учитывающие специфику предприятий (учреждений, за­ведений). При этом, поскольку основными категориями пользователей и лиц, непосредственно связанных с защитой информации, являются поль­зователи (абоненты) АСОД, сотрудники самой АСОД и служба защиты информации, причем место, заинтересованность, компетентность и ответ­ственность при решении вопросов защиты названных категорий различ­но, очевидно, целесообразно предусмотреть для каждой из них свою раз­новидность типовых инструкций.

С учетом вышеизложенного классификационная структура системы ти­повых документов по защите информации представлена на рис. 5.

 

 

Рис. 5. Классификационная структура типовых документов
по защите информации.

 

Однако чтобы документы по защите информации были системой, а не конгломератом, необходимо предусмотреть единую их идентифика­цию, причем идентификация должна быть однозначной, информативной и наглядной.

Нетрудно видеть, что в соответствии с рис. 5 однозначность идентификации может быть обеспечена лишь в том случае, если иденти­фикатор будет четырехуровневым, то есть содержать элементы, идентифици­рующие последовательно соответственно принадлежность к системе до­кументов по защите, группу документов, подгруппу документов и доку­мент в подгруппе. Чтобы идентификаторы были информативными и на­глядными, предлагается первые три их элемента (систему документов, группу документов и подгруппу документов) представить в буквенном мнемоническом выражении, а документы в каждой из подгрупп незави­симо обозначать последовательными цифровыми номерами. Тогда структуру и содержание идентификатора можно представить так, как по­казано в таблице 1.


Таблица 1.
Структура и содержание идентификатора СТДЗИ.

 

Параметры идентификатора Значения параметров
Номера позиций
Назначение Идентификатор системы Идентификатор группы Идентификатор подгруппы Номер документа
Выражение Буквенное Буквенное Цифровое Цифровое
Значения СТДЗИ В соответствии со структурой системы документов 01-99

 

Примем следующие мнемонические обозначения:

СТДЗИ – система типовых документов по защите информации: СИН – справочно-информационные документы; СЛВ – словари; КОН – концептуальные до­кументы; СПР – справочники;

СТН – стандарты: КОН – концептуальные; СЗИ – системы защиты информации; МЗИ – механизмы защиты инфор­мации; СРЗ – средства защиты информации; СКЗ – средства контроля и сертификации систем, механизмов и средств защиты; ЗТХ – защищенные информационные технологии;

РММ – руководящие методические мате­риалы: УИН – уязвимость информации и мето­дология ее оценки; ТНЗ – требования к защите информации и нормы за­щищенности; ФЗИ – функции и задачи защиты; СРЗ – средства защиты информации; ТСЗ – технические средства защиты; ПСЗ – программные средства защиты; ОСЗ – организационные средства защиты; КСЗ – крип­тографические средства защиты; МЗИ – механизмы защиты информации; СЗИ – система защиты информации; МПС – методология проектирования систем защиты; ОРЗ – организация работ по защите информации; ОПЗ -организационно-правовое обеспечение защиты информации; УСЗ – усло­вия, способствующие повышению эффективности защиты информации;

ИНС – инструкции: ПЛЗ – пользователям (абонентам) АСОД; ДЛЦ – должностным лицам АСОД; СЛЗ – службе защиты информации АСОД.

В соответствии с вышеизложенным, все документы системы можно иден­тифицировать так, как показано таблице 2.

 


Таблица 2.
Идентификация системы типовых документов по защите информации.

 

УРОВЕНЬ ИДЕНТИФИКАТОР
Системы СТДЗИ-000-000-00
Группы СТДЗИ-СИН-000-00 СТДЗИ-СТН-000-00 СТДЗИ-РММ-000-00 СТДЗИ-ИНС-000-00
Подгруппы СТДЗИ-СИН-СЛВ-00 СТДЗИ-СТН-СЗИ-00 В соответствии с таблицей СТДЗИ-ИНС-ПЛЗ-00
СТДЗИ-СТН-МЗИ-00
СТДЗИ-СИН-КОН-00 СТДЗИ-СТН-СРЗ-00 СТДЗИ-ИНС-ДЛЦ-00
СТДЗИ-СТН-СКЗ-00
СТДЗИ-СИН-СПР-00 СТДЗИ-СТН-КОН-00 СТДЗИ-ИНС-СЛЗ-00
СТДЗИ-СТН-ЗТХ-00
Документ СТДЗИ-СИН-СЛВ-i1i1 СТДЗИ-СТН-СЗИ-j1j1 В соответствии с таблицей СТДЗИ-ИНС-ПЛЗ-l1l1
СТДЗИ-СТН-МЗИ-j2j2
СТДЗИ-СИН-КОН-i2i2 СТДЗИ-СТН-СРЗ-j3j3 СТДЗИ-ИНС-ДЛЦ-l2l2
СТДЗИ-СТН-СКЗ-j4j4
СТДЗИ-СИН-СПР-i3i3 СТДЗИ-CTH-KOH-j5j5 СТДЗИ-ИНС-СЛЗ-l3l3
СТДЗИ-CTH-3TX-j6j6

 

 

Идентификация РММ при­ведена в таблице 3.

 

Таблица 3.
Идентификация руководящих методических материалов
по защите информации.

 

Наименование подгрупп РММ Идентификаторы подгрупп
Вопросы общей методологии защиты (концептуальные) СТДЗИ-PMM-KOH-K1K1
Уязвимость информации и методология ее оценки СТДЗИ-РММ-УИН-К2К2
Требования к защите информации и нормы защищенности СТДЗИ-РММ-ТНЗ-К3К3
Функции и задачи защиты СТДЗИ-РММ-ФЗИ-К4К4
Средства защиты информации (общие вопросы) СТДЗИ-РММ-СРЗ-К5К5
Технические средства защиты СТДЗИ-РММ-ТСЗ-К6К6
Программные средства защиты СТДЗИ-РММ-ПСЗ-К7К7
Организационные средства защиты СТДЗИ-РММ-ОСЗ-К8К8
Криптографические средства защиты СТДЗИ-РММ-КСЗ-К9К9
Механизмы защиты информации СТДЗИ-РММ-МЗИ-К10К10
Системы защиты информации (архитектура и технология функционирования) СТДЗИ-РММ-СЗИ-К11К11
Методология проектирования систем защиты СТДЗИ-РММ-МПС-К12К12
Организация работ по защите информации СТДЗИ-РММ-ОРЗ-К13К13
Организационно-правовое обеспечение защиты информации СТДЗИ-РММ-ОПЗ-К14К14
Условия, способствующие повышению эффективности защиты СТДЗИ-РММ-УСЗ-К15К15