КАТЕГОРИИ: Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748) |
Работ по защите информации
Научно-методологическое и документационное обеспечение
Под научно-методологическим обеспечением работ по защите информации понимается организация разработки, издания, распространения и целенаправленного использования официальных документов, научных трудов, учебников и научно-методических материалов, необходимых для однозначного понимания проблем защиты и обеспечения целенаправленного решения всех задач, связанных с защитой информации. Особую компоненту научно-методологического базиса должна составить система типовых документов по защите информации. Под типовым понимается такой документ, который отработан корректно, прошел апробацию и утвержден полномочными органами в качестве типового (или, по крайней мере, получивший всеобщее признание в кругу профессиональных специалистов). Какого-либо утвержденного или хотя бы общепризнанного перечня типовых документов по защите информации в настоящее время нет. Однако большой объем работ по защите информации, их многообразие, сложность и большое количество участвующих в их осуществлении дает основания утверждать, что чем лучше будет документационное обеспечение этих работ, тем эффективнее будут решаться все проблемы защиты информации. Основное назначение документов может быть сформулировано следующим образом: – обеспечение научно-методологического и концептуального единства при решении всех вопросов защиты информации; – создание условий для однозначного понимания и практической реализации основных положений унифицированной концепции защиты информации; – обеспечение необходимыми данными всех органов и лиц, участвующих в защите информации;
– обеспечение нормативно-правового регулирования процессов защиты информации. В соответствии с рассмотренными здесь принципами максимальной унификации всех решений (включая и концептуальные) по защите информации документы должны образовывать единую упорядоченную систему, которую назовем системой типовых документов по защите информации (СТДЗИ). Структурно СТДЗИ должна представлять собой упорядоченный перечень групп и индексацию (идентификацию) документов, разрабатываемых по вопросам, относящимся к защите информации в АСОД. Структура системы типовых документов в том виде, как она может быть сформирована на основе анализа развиваемой здесь концепции и подходов к ее реализации, может быть представлена совокупностью четырех групп документов: справочно-информационных, стандартов, руководящих методических материалов (РММ) и инструкций. В группу справочно-информационных предлагается отнести такие документы, которые в систематизированном виде содержат полную совокупность таких сведений, которые, с одной стороны, необходимы и достаточны для получения четкого и однозначного представления обо всех аспектах проблемы защиты информации, а с другой – были бы признаны подавляющим большинством специалистов профессионалов в области защиты информации. В качестве основных подгрупп этой группы документов могут быть выделены словари, описания концепции защиты и справочники. В группу стандартов, естественно, должны быть отнесены такие документы и соответствующие им решения, которые непременно удовлетворяют, по крайней мере, следующим трем требованиям: – они должны являться образцом, эталоном в смысле совершенства по всем основным параметрам; – они должны иметь точный сертификат по основным параметрам; – они должны быть утверждены полномочными органами, причем факт утверждения должен гарантировать пользователям соответствие стандарта своему сертификату.
Стандартов, вообще говоря, может быть много, но все они могут быть разделены на следующие подгруппы: – концептуальные; – системы защиты информации; – механизмы защиты информации; – средства защиты информации; – средства контроля защищенности информации; – защищенные информационные технологии. К РММ по установившейся практике предлагается отнести совокупность таких документов, которые содержат полное и систематизированное описание соответствующих вопросов, относящихся к защите информации, и утверждены полномочными органами, однако, в отличие от стандартов, утверждение носит лишь рекомендательный характер. Практика организации и обеспечения работ по созданию автоматизированных систем показывает, что РММ обычно составляют наиболее представительную группу документов, регламентирующих различные аспекты работ. Есть веские основания утверждать, что при широкомасштабном разворачивании работ по защите информации в документационно-методическом их обеспечении РММ также будут занимать большую долю. Этим предопределяется настоятельная необходимость заблаговременного формирования упорядоченного перечня разновидностей РММ и включения его в общую классификационную структуру системы документов по защите информации. На основе анализа структуры и содержания развиваемой здесь концепции защиты, а также подходов и методов ее реализации предлагается следующий перечень разновидностей РММ: – вопросы общей методологии защиты информации или концептуальные; – уязвимость информации и методология ее оценки; – требования к защите информации и нормы защищенности; – функции и задачи защиты информации; – средства защиты информации (общие вопросы); – технические средства защиты информации; – программные средства защиты информации; – организационные средства защиты информации; – криптографические средства защиты информации; – механизмы защиты информации; – системы защиты информации (архитектура и технология функционирования); – методология проектирования систем защиты информации; – организация работ по защите информации;
– организационно-правовое обеспечение защиты информации. – условия, способствующие повышению эффективности защиты информации; Этот перечень и включается в общую классификационную структуру системы типовых документов по защите информации. К инструкциям как группе СТДЗИ предлагается отнести систематизированные наборы типовых инструкций для различных категорий подразделений и лиц, имеющих отношение к защите информации. Инструкции должны быть утверждены полномочными органами, причем утверждение дает инструкциям статус типовых, на основе которых на каждом конкретном предприятии (учреждении, заведении) должны разрабатываться и утверждаться соответствующими должностными лицами рабочие инструкции, учитывающие специфику предприятий (учреждений, заведений). При этом, поскольку основными категориями пользователей и лиц, непосредственно связанных с защитой информации, являются пользователи (абоненты) АСОД, сотрудники самой АСОД и служба защиты информации, причем место, заинтересованность, компетентность и ответственность при решении вопросов защиты названных категорий различно, очевидно, целесообразно предусмотреть для каждой из них свою разновидность типовых инструкций. С учетом вышеизложенного классификационная структура системы типовых документов по защите информации представлена на рис. 5.
Рис. 5. Классификационная структура типовых документов
Однако чтобы документы по защите информации были системой, а не конгломератом, необходимо предусмотреть единую их идентификацию, причем идентификация должна быть однозначной, информативной и наглядной. Нетрудно видеть, что в соответствии с рис. 5 однозначность идентификации может быть обеспечена лишь в том случае, если идентификатор будет четырехуровневым, то есть содержать элементы, идентифицирующие последовательно соответственно принадлежность к системе документов по защите, группу документов, подгруппу документов и документ в подгруппе. Чтобы идентификаторы были информативными и наглядными, предлагается первые три их элемента (систему документов, группу документов и подгруппу документов) представить в буквенном мнемоническом выражении, а документы в каждой из подгрупп независимо обозначать последовательными цифровыми номерами. Тогда структуру и содержание идентификатора можно представить так, как показано в таблице 1.
Таблица 1.
Примем следующие мнемонические обозначения: СТДЗИ – система типовых документов по защите информации: СИН – справочно-информационные документы; СЛВ – словари; КОН – концептуальные документы; СПР – справочники; СТН – стандарты: КОН – концептуальные; СЗИ – системы защиты информации; МЗИ – механизмы защиты информации; СРЗ – средства защиты информации; СКЗ – средства контроля и сертификации систем, механизмов и средств защиты; ЗТХ – защищенные информационные технологии; РММ – руководящие методические материалы: УИН – уязвимость информации и методология ее оценки; ТНЗ – требования к защите информации и нормы защищенности; ФЗИ – функции и задачи защиты; СРЗ – средства защиты информации; ТСЗ – технические средства защиты; ПСЗ – программные средства защиты; ОСЗ – организационные средства защиты; КСЗ – криптографические средства защиты; МЗИ – механизмы защиты информации; СЗИ – система защиты информации; МПС – методология проектирования систем защиты; ОРЗ – организация работ по защите информации; ОПЗ -организационно-правовое обеспечение защиты информации; УСЗ – условия, способствующие повышению эффективности защиты информации; ИНС – инструкции: ПЛЗ – пользователям (абонентам) АСОД; ДЛЦ – должностным лицам АСОД; СЛЗ – службе защиты информации АСОД. В соответствии с вышеизложенным, все документы системы можно идентифицировать так, как показано таблице 2.
Таблица 2.
Идентификация РММ приведена в таблице 3.
Таблица 3.
Дата добавления: 2014-01-15; Просмотров: 561; Нарушение авторских прав?; Мы поможем в написании вашей работы! Нам важно ваше мнение! Был ли полезен опубликованный материал? Да | Нет |