Опубликован: 02.02.2018 | Доступ: свободный | Студентов: 3037 / 1236 | Длительность: 17:50:00
Тема: Безопасность
Лекция 3:
Объекты защиты информации
3.2. Классификация автоматизированных систем
Подавляющее большинство информации в современном мире обрабатывается в автоматизированных системах. У внимательного читателя может возникнуть вопрос: чем отличаются понятия "информационная система" и "автоматизированная система"?
Давайте сравним определения.
Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Информационная система (ИС) - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Определение автоматизированной системы взято из ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения", который был введен в действие в 1992 году. В этом же году был введен действие Руководящий документ Гостехкомиссии России "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации". Определение информационной системы взято из Федерального закона "Об информации, информационных технологиях и о защите информации", который вступил в силу в 2006 году. На текущий момент есть действующие ГОСТ и руководящие документы 1992 года и новый Федеральный закон 2006 года - и в документах используется разная терминология. ФСТЭК в своих нормативно-правовых актах использует понятие "информационная система", опираясь на более новое законодательство. После публикации ФСТЭК новых документов по персональным данным, к регулятору возник ряд вопросов, в том числе по отличиям в терминологии.
В информационном сообщении ФСТЭК России от 15.07.2013 № 240/22/2637 "По вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах связи…" в пункте 6 был получен такой ответ:
"В Требованиях, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Составе и содержании мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, используется понятие "информационная система", установленное Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"…
В иных методических документах и национальных стандартах в области защиты информации используется понятие "автоматизированная система", определенное национальным стандартом ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения".
Учитывая, что Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состав и содержание мер, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, разрабатывались во исполнение федеральных законов от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 27 июля 2006 г. N 152-ФЗ "О персональных данных" соответственно, в которых используется понятие "информационная система", в нормативных правовых актах ФСТЭК России также использовано указанное понятие.
Исходя из родственных определений понятия "информационная система", установленного Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", и понятия "автоматизированная система", установленного национальным стандартом ГОСТ 34.003-90, а также из содержания Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, использование в нормативных правовых актах ФСТЭК России понятия "информационная система" не влияет на конечную цель защиты информации".[27]
То есть ФСТЭК признает определения родственными.
В более новом ГОСТ РО 0043-004-2013 "Программа и методики аттестационных испытаний" даны следующие определения:
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Примечание: Информационные системы являются одной из разновидностей автоматизированных систем, результатом функционирования которых является представление выходной информации для последующего использования[20].
Таким образом, в соответствии с ГОСТ, информационная система является частным случаем автоматизированной системы. В свою очередь автоматизированная система является частным случаем объекта информатизации.
Все действующие автоматизированные системы классифицируются в соответствии с Руководящим документом Гостехкомиссии России "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации".
Классификация АС включает следующие этапы:
- Разработка и анализ исходных данных.
- Выявление основных признаков АС, необходимых для классификации.
- Сравнение выявленных признаков АС с классифицируемыми.
- Присвоение АС соответствующего класса защиты информации от НСД.
Исходными данными для классификации АС являются:
- Перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности.
- Перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий.
- Матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС.
- Режим обработки данных в АС.
Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.
К числу определяющих признаков классификации АС относится следующее:
- наличие в АС информации различного уровня конфиденциальности;
- уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
- режим обработки данных в АС - коллективный или индивидуальный.
Устанавливаются 9 классов защищённости АС от НСД к информации, каждый класс характеризуется определённой минимальной совокупностью требований по защите. Классы подразделяются на 3 группы:
III группа - классы 3Б и 3А
Классы соответствуют автоматизированным системам, в которых работает один пользователь, допущенный ко всей информации в АС, размещённой на носителях одного уровня конфиденциальности.
II группа - классы 2Б и 2А
Классы данной группы соответствуют автоматизированным системам, в которых пользователи имеют одинаковые права доступа ко всей информации в АС, обрабатываемой или хранимой на носителях различного уровня конфиденциальности.
I группа - классы 1Д, 1Г, 1В, 1Б и 1А
В этих автоматизированных системах одновременно обрабатывается или хранится информация разных уровней конфиденциальности. Не все пользователи имеют доступ ко всей информации в АС.
Интересно, что документ выделяет 4 подсистемы для обеспечения защиты от НСД:
- управления доступом;
- регистрации и учета;
- криптографической;
- обеспечения целостности.
В зависимости от класса АС требования к перечисленным подсистемам различаются (таблицы 3.1, 3.2, 3.3). Приняты следующие обозначения:
| Подсистемы и требования | Классы | ||
|---|---|---|---|
| 3Б | 3А | ||
| 1. Подсистема управления доступом | |||
| 1.1. | Идентификация, проверка подлинности и контроль доступа субъектов: | ||
| в систему | + | + | |
| к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ | - | - | |
| к программам | - | - | |
| к томам, каталогам, файлам, записям, полям записей | - | - | |
| 1.2. | Управление потоками информации | ||
| 2. Подсистема регистрации и учета | |||
| 2.1. | Регистрация и учет: | ||
| входа (выхода) субъектов доступа в (из) систему(ы) (узел сети) | + | + | |
| выдачи печатных (графических) выходных документов | - | + | |
| запуска (завершения) программ и процессов (заданий, задач) | - | - | |
| доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи | - | - | |
| доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей | - | - | |
| изменения полномочий субъектов доступа | - | - | |
| создаваемых защищаемых объектов доступа | - | - | |
| 2.2. | Учет носителей информации | + | + |
| 2.3. | Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | - | + |
| 2.4. | Сигнализация попыток нарушения защиты | - | - |
| 3. Криптографическая подсистема | |||
| 3.1. | Шифрование конфиденциальной информации | - | - |
| 3.2. | Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | - | - |
| 3.3. | Использование аттестованных (сертифицированных) криптографических средств | - | - |
| 4. Подсистема обеспечения целостности | |||
| 4.1. | Обеспечение целостности программных средств и обрабатываемой информации | + | + |
| 4.2. | Физическая охрана средств вычислительной техники и носителей информации | + | + |
| 4.3. | Наличие администратора (службы) защиты информации в АС | - | - |
| 4.4. | Периодическое тестирование СЗИ НСД | + | + |
| 4.5. | Наличие средств восстановления СЗИ НСД | + | + |
| 4.6. | Использование сертифицированных средств защиты | - | + |
| Подсистемы и требования | Классы | ||
|---|---|---|---|
| 2Б | 2А | ||
| 1. Подсистема управления доступом | |||
| 1.1. | Идентификация, проверка подлинности и контроль доступа субъектов: | ||
| в систему | + | + | |
| к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ | - | + | |
| к программам | - | + | |
| к томам, каталогам, файлам, записям, полям записей | - | + | |
| 1.2. | Управление потоками информации | - | + |
| 2. Подсистема регистрации и учета | |||
| 2.1. | Регистрация и учет: | ||
| входа (выхода) субъектов доступа в (из) систему (узел сети) | + | + | |
| выдачи печатных (графических) выходных документов | - | + | |
| запуска (завершения) программ и процессов (заданий, задач) | - | + | |
| доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи | - | + | |
| доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей | - | + | |
| изменения полномочий субъектов доступа | - | - | |
| создаваемых защищаемых объектов доступа | - | + | |
| 2.2. | Учет носителей информации | + | + |
| 2.3. | Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | - | + |
| 2.4. | Сигнализация попыток нарушения защиты | - | - |
| 3. Криптографическая подсистема | |||
| 3.1. | Шифрование конфиденциальной информации | - | + |
| 3.2. | Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | - | - |
| 3.3. | Использование аттестованных (сертифицированных) криптографических средств | - | + |
| 4. Подсистема обеспечения целостности | |||
| 4.1. | Обеспечение целостности программных средств и обрабатываемой информации | + | + |
| 4.2. | Физическая охрана средств вычислительной техники и носителей информации | + | + |
| 4.3. | Наличие администратора (службы) защиты информации в АС | - | + |
| 4.4. | Периодическое тестирование СЗИ НСД | + | + |
| 4.5. | Наличие средств восстановления СЗИ НСД | + | + |
| 4.6. | Использование сертифицированных средств защиты | - | + |
| Подсистемы и требования | Классы | |||||
|---|---|---|---|---|---|---|
| 1Д | 1Г | 1В | 1Б | 1А | ||
| 1. Подсистема управления доступом | ||||||
| 1.1. | Идентификация, проверка подлинности и контроль доступа субъектов: | |||||
| в систему | + | + | + | + | + | |
| к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ | - | + | + | + | + | |
| к программам | - | + | + | + | + | |
| к томам, каталогам, файлам, записям, полям записей | - | + | + | + | + | |
| 1.2. | Управление потоками информации | - | - | + | + | + |
| 2. Подсистема регистрации и учета | ||||||
| 2.1. | Регистрация и учет: | |||||
| входа (выхода) субъектов доступа в (из) систему (узел сети) | + | + | + | + | + | |
| выдачи печатных (графических) выходных документов | - | + | + | + | + | |
| запуска (завершения) программ и процессов (заданий, задач) | - | + | + | + | + | |
| доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи | - | + | + | + | + | |
| доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей | - | + | + | + | + | |
| изменения полномочий субъектов доступа | - | - | + | + | + | |
| создаваемых защищаемых объектов доступа | - | - | + | + | + | |
| 2.2. | Учет носителей информации | + | + | + | + | + |
| 2.3. | Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей | - | + | + | + | + |
| 2.4. | Сигнализация попыток нарушения защиты | - | - | + | + | + |
| 3. Криптографическая подсистема | ||||||
| 3.1. | Шифрование конфиденциальной информации | - | - | - | + | + |
| 3.2. | Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах | - | - | - | - | + |
| 3.3. | Использование аттестованных (сертифицированных) криптографических средств | - | - | - | + | + |
| 4. Подсистема обеспечения целостности | ||||||
| 4.1. | Обеспечение целостности программных средств и обрабатываемой информации | + | + | + | + | + |
| 4.2. | Физическая охрана средств вычислительной техники и носителей информации | + | + | + | + | + |
| 4.3. | Наличие администратора (службы) защиты информации в АС | - | - | + | + | + |
| 4.4. | Периодическое тестирование СЗИ НСД | + | + | + | + | + |
| 4.5. | Наличие средств восстановления СЗИ НСД | + | + | + | + | + |
| 4.6. | Использование сертифицированных средств защиты | - | - | + | + | + |
Более детально требования в зависимости от класса защищенности описаны в Руководящем документе Гостехкомиссии России "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации".
Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен. Если АС, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, образуемая при этом АС более высокого уровня классифицируется в целом, а в отношении АС нижнего уровня классификация не производится.
Если объединяются АС различных классов защищенности, то интегрированная АС должна классифицироваться по высшему классу защищенности входящих в нее АС, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защищенности.
