Опубликован: 02.02.2018 | Доступ: свободный | Студентов: 1610 / 491 | Длительность: 17:50:00
Лекция 3:

Объекты защиты информации

< Лекция 2 || Лекция 3: 123 || Лекция 4 >

3.2. Классификация автоматизированных систем

Подавляющее большинство информации в современном мире обрабатывается в автоматизированных системах. У внимательного читателя может возникнуть вопрос: чем отличаются понятия "информационная система" и "автоматизированная система"?

Давайте сравним определения.

Автоматизированная система (АС) - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Информационная система (ИС) - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Определение автоматизированной системы взято из ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения", который был введен в действие в 1992 году. В этом же году был введен действие Руководящий документ Гостехкомиссии России "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации". Определение информационной системы взято из Федерального закона "Об информации, информационных технологиях и о защите информации", который вступил в силу в 2006 году. На текущий момент есть действующие ГОСТ и руководящие документы 1992 года и новый Федеральный закон 2006 года - и в документах используется разная терминология. ФСТЭК в своих нормативно-правовых актах использует понятие "информационная система", опираясь на более новое законодательство. После публикации ФСТЭК новых документов по персональным данным, к регулятору возник ряд вопросов, в том числе по отличиям в терминологии.

В информационном сообщении ФСТЭК России от 15.07.2013 № 240/22/2637 "По вопросам защиты информации и обеспечения безопасности персональных данных при их обработке в информационных системах связи…" в пункте 6 был получен такой ответ:

"В Требованиях, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Составе и содержании мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, используется понятие "информационная система", установленное Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"…

В иных методических документах и национальных стандартах в области защиты информации используется понятие "автоматизированная система", определенное национальным стандартом ГОСТ 34.003-90 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения".

Учитывая, что Требования, утвержденные приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состав и содержание мер, утвержденные приказом ФСТЭК России от 18 февраля 2013 г. N 21, разрабатывались во исполнение федеральных законов от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и от 27 июля 2006 г. N 152-ФЗ "О персональных данных" соответственно, в которых используется понятие "информационная система", в нормативных правовых актах ФСТЭК России также использовано указанное понятие.

Исходя из родственных определений понятия "информационная система", установленного Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", и понятия "автоматизированная система", установленного национальным стандартом ГОСТ 34.003-90, а также из содержания Требований, утвержденных приказом ФСТЭК России от 11 февраля 2013 г. N 17, и Состава и содержания мер, утвержденных приказом ФСТЭК России от 18 февраля 2013 г. N 21, использование в нормативных правовых актах ФСТЭК России понятия "информационная система" не влияет на конечную цель защиты информации".[27]

То есть ФСТЭК признает определения родственными.

В более новом ГОСТ РО 0043-004-2013 "Программа и методики аттестационных испытаний" даны следующие определения:

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Примечание: Информационные системы являются одной из разновидностей автоматизированных систем, результатом функционирования которых является представление выходной информации для последующего использования[20].

Таким образом, в соответствии с ГОСТ, информационная система является частным случаем автоматизированной системы. В свою очередь автоматизированная система является частным случаем объекта информатизации.

Все действующие автоматизированные системы классифицируются в соответствии с Руководящим документом Гостехкомиссии России "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации".

Классификация АС включает следующие этапы:

  1. Разработка и анализ исходных данных.
  2. Выявление основных признаков АС, необходимых для классификации.
  3. Сравнение выявленных признаков АС с классифицируемыми.
  4. Присвоение АС соответствующего класса защиты информации от НСД.

Исходными данными для классификации АС являются:

  1. Перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности.
  2. Перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий.
  3. Матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС.
  4. Режим обработки данных в АС.

Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.

К числу определяющих признаков классификации АС относится следующее:

  • наличие в АС информации различного уровня конфиденциальности;
  • уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;
  • режим обработки данных в АС - коллективный или индивидуальный.

Устанавливаются 9 классов защищённости АС от НСД к информации, каждый класс характеризуется определённой минимальной совокупностью требований по защите. Классы подразделяются на 3 группы:

III группа - классы 3Б и 3А

Классы соответствуют автоматизированным системам, в которых работает один пользователь, допущенный ко всей информации в АС, размещённой на носителях одного уровня конфиденциальности.

II группа - классы 2Б и 2А

Классы данной группы соответствуют автоматизированным системам, в которых пользователи имеют одинаковые права доступа ко всей информации в АС, обрабатываемой или хранимой на носителях различного уровня конфиденциальности.

I группа - классы 1Д, 1Г, 1В, 1Б и 1А

В этих автоматизированных системах одновременно обрабатывается или хранится информация разных уровней конфиденциальности. Не все пользователи имеют доступ ко всей информации в АС.

Интересно, что документ выделяет 4 подсистемы для обеспечения защиты от НСД:

  • управления доступом;
  • регистрации и учета;
  • криптографической;
  • обеспечения целостности.

В зависимости от класса АС требования к перечисленным подсистемам различаются (таблицы 3.1, 3.2, 3.3). Приняты следующие обозначения:

" - " - нет требований к данному классу;
" + " - есть требования к данному классу.

Таблица 3.1. Требования для АС III группы
Подсистемы и требования Классы
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ - -
к программам - -
к томам, каталогам, файлам, записям, полям записей - -
1.2. Управление потоками информации
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему(ы) (узел сети) + +
выдачи печатных (графических) выходных документов - +
запуска (завершения) программ и процессов (заданий, задач) - -
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи - -
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей - -
изменения полномочий субъектов доступа - -
создаваемых защищаемых объектов доступа - -
2.2. Учет носителей информации + +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей - +
2.4. Сигнализация попыток нарушения защиты - -
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации - -
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах - -
3.3. Использование аттестованных (сертифицированных) криптографических средств - -
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации + +
4.2. Физическая охрана средств вычислительной техники и носителей информации + +
4.3. Наличие администратора (службы) защиты информации в АС - -
4.4. Периодическое тестирование СЗИ НСД + +
4.5. Наличие средств восстановления СЗИ НСД + +
4.6. Использование сертифицированных средств защиты - +

Таблица 3.2. Требования для АС II группы
Подсистемы и требования Классы
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ - +
к программам - +
к томам, каталогам, файлам, записям, полям записей - +
1.2. Управление потоками информации - +
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему (узел сети) + +
выдачи печатных (графических) выходных документов - +
запуска (завершения) программ и процессов (заданий, задач) - +
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи - +
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей - +
изменения полномочий субъектов доступа - -
создаваемых защищаемых объектов доступа - +
2.2. Учет носителей информации + +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей - +
2.4. Сигнализация попыток нарушения защиты - -
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации - +
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах - -
3.3. Использование аттестованных (сертифицированных) криптографических средств - +
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации + +
4.2. Физическая охрана средств вычислительной техники и носителей информации + +
4.3. Наличие администратора (службы) защиты информации в АС - +
4.4. Периодическое тестирование СЗИ НСД + +
4.5. Наличие средств восстановления СЗИ НСД + +
4.6. Использование сертифицированных средств защиты - +

Таблица 3.3. Требования для АС I группы
Подсистемы и требования Классы
1. Подсистема управления доступом
1.1. Идентификация, проверка подлинности и контроль доступа субъектов:
в систему + + + + +
к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ - + + + +
к программам - + + + +
к томам, каталогам, файлам, записям, полям записей - + + + +
1.2. Управление потоками информации - - + + +
2. Подсистема регистрации и учета
2.1. Регистрация и учет:
входа (выхода) субъектов доступа в (из) систему (узел сети) + + + + +
выдачи печатных (графических) выходных документов - + + + +
запуска (завершения) программ и процессов (заданий, задач) - + + + +
доступа программ субъектов доступа к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи - + + + +
доступа программ субъектов доступа к терминалам, ЭВМ, узлам сети ЭВМ, каналам связи, внешним устройствам ЭВМ, программам, томам, каталогам, файлам, записям, полям записей - + + + +
изменения полномочий субъектов доступа - - + + +
создаваемых защищаемых объектов доступа - - + + +
2.2. Учет носителей информации + + + + +
2.3. Очистка (обнуление, обезличивание) освобождаемых областей оперативной памяти ЭВМ и внешних накопителей - + + + +
2.4. Сигнализация попыток нарушения защиты - - + + +
3. Криптографическая подсистема
3.1. Шифрование конфиденциальной информации - - - + +
3.2. Шифрование информации, принадлежащей различным субъектам доступа (группам субъектов) на разных ключах - - - - +
3.3. Использование аттестованных (сертифицированных) криптографических средств - - - + +
4. Подсистема обеспечения целостности
4.1. Обеспечение целостности программных средств и обрабатываемой информации + + + + +
4.2. Физическая охрана средств вычислительной техники и носителей информации + + + + +
4.3. Наличие администратора (службы) защиты информации в АС - - + + +
4.4. Периодическое тестирование СЗИ НСД + + + + +
4.5. Наличие средств восстановления СЗИ НСД + + + + +
4.6. Использование сертифицированных средств защиты - - + + +

Более детально требования в зависимости от класса защищенности описаны в Руководящем документе Гостехкомиссии России "Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации".

Пересмотр класса защищенности АС производится в обязательном порядке, если произошло изменение хотя бы одного из критериев, на основании которых он был установлен. Если АС, классифицированная ранее, включается в состав вычислительной сети или системы и соединяется с другими техническими средствами линиями связи различной физической природы, образуемая при этом АС более высокого уровня классифицируется в целом, а в отношении АС нижнего уровня классификация не производится.

Если объединяются АС различных классов защищенности, то интегрированная АС должна классифицироваться по высшему классу защищенности входящих в нее АС, за исключением случаев их объединения посредством межсетевого экрана, когда каждая из объединяющихся АС может сохранять свой класс защищенности.

< Лекция 2 || Лекция 3: 123 || Лекция 4 >
Александр Игнатьев
Александр Игнатьев

По тексту есть ссылки на литературные источники, которых нет всиске литературы. Номера есть, а источников нет. Ждать ли исправления?

Александр Тимошкин
Александр Тимошкин

В рамках курса часто упоминается сокращение "ТКЗИ". Если имеется в виду Техническая Защита Конфиденциальной Информации, то не правильнее ли использовать сокращение ТЗКИ, тем более что в разделе 11.1 Сущность, цели и задачи планирования, встречается фраза "Планирование ТЗКИ включает в себя"?

Александр Смирнов
Александр Смирнов
Россия, Санкт-Петербург