Группы требований. Общие и организационные требования

ТРЕБОВАНИЯ К СИСТЕМАМ ЗАЩИТЫ ИНФОРМАЦИИ

Требования по защите информации определяются владельцем ИС и согласовываются с исполнителем работ по созданию системы защиты информации (исполнитель должен иметь соответствующую лицензию на право проведения таких работ).

В процессе формирования требований к СЗИ целесообразно найти ответы на следующие вопросы:

1. Какие меры безопасности предполагается использовать?
2. Какова стоимость доступных программных и технических мер защиты?
3. Насколько эффективны доступные меры защиты?
4. Насколько уязвимы подсистемы СЗИ?
5. Имеется ли возможность провести анализ риска (прогнозирование возможных последствий, которые могут вызвать выявленные угрозы и каналы утечки информации)?

Совокупность требований к системам защиты информации

В общем случае целесообразно выделить следующие группы требований к системам защиты информации:

ü общие требования;

ü организационные требования;

ü конкретные требования к подсистемам защиты, техническому и программному обеспечению, документированию, способам, методам и средствам защиты.

Общие требования

Прежде всего, необходима полная идентификация пользователей, терминалов, программ, а также основных процессов и процедур, желательно до уровня записи или элемента. Кроме того, следует ограничить доступ к информации, используя совокупность следующих способов:

ü иерархическая классификация доступа;

ü классификация информации по важности и месту ее возникновения;

ü указание ограничений к информационным объектам, например пользователь может осуществлять только чтение файла без права записи в него;

ü определение программ и процедур, предоставленных только конкретным пользователям.

Система защиты должна гарантировать, что любое движение данных идентифицируется, авторизуется, обнаруживается и документируется.

Обычно формулируются общие требования к следующим характеристикам:

ü способам построения СЗИ либо ее отдельных компонент (к программному, программно-аппаратному, аппаратному);

ü архитектуре вычислительных средств и ИС (к классу и минимальной конфигурации ЭВМ, операционной среде, ориентации на ту или иную программную и аппаратную платформы, архитектуре интерфейса);

ü применению стратегии защиты;

ü затратам ресурсов на обеспечение СЗИ (к объемам дисковой памяти для программной версии и оперативной памяти для ее резидентной части, затратам производительности вычислительной системы на решение задач защиты);

ü надежности функционирования СЗИ (к количественным значениям показателей надежности во всех режимах функционирования ИС и при воздействии внешних разрушающих факторов, к критериям отказов);

ü количеству степеней секретности информации, поддерживаемых СЗИ;

ü обеспечению скорости обмена информацией в ИС, в том числе с учетом используемых криптографических преобразований;

ü количеству поддерживаемых СЗИ уровней полномочий;

ü возможности СЗИ обслуживать определенное количество пользователей;

ü продолжительности процедуры генерации программной версии СЗИ;

ü продолжительности процедуры подготовки СЗИ к работе после подачи питания на компоненты ИС;

ü возможности СЗИ реагировать на попытки несанкционированного доступа либо на «опасные ситуации»;

ü наличию и обеспечению автоматизированного рабочего места администратора защиты информации в ИС;

ü составу используемого программного и лингвистического обеспечения, к его совместимости с другими программными платформами, к возможности модификации и т.п.;

ü используемым закупаемым компонентам СЗИ (наличие лицензии, сертификата и т.п.).

Организационные требования

Организационные требования к системе защиты предусматривают реализацию совокупности административных и процедурных мероприятий. Требования по обеспечению сохранности должны выполняться, прежде всего, на административном уровне.

Организационные мероприятия, проводимые с целью повышения эффективности защиты информации, должны предусматривать следующие процедуры:

ü ограничение несопровождаемого доступа к вычислительной системе (регистрация и сопровождение посетителей);

ü осуществление контроля за изменением в системе программного обеспечения;

ü выполнение тестирования и верификации изменений в системе программного обеспечения и программах защиты;

ü организацию и поддержку взаимного контроля за выполнением правил защиты данных;

ü ограничение привилегии персонала, обслуживающего ИС;

ü осуществление записи протокола о доступе к системе;

ü гарантию компетентности обслуживающего персонала;

ü разработку последовательного подхода к обеспечению сохранности информации для всей организации;

ü организацию четкой работы службы ленточной и дисковой библиотек;

ü комплектование основного персонала на базе интегральных оценок и твердых знаний;

ü организацию системы обучения и повышения квалификации обслуживающего персонала.

С точки зрения обеспечения доступа к ИС необходимо выполнить следующие процедурные мероприятия:

ü разработать и утвердить письменные инструкции на загрузку и остановку работы операционной системы;

ü контролировать использование магнитных лент, дисков, карт, листингов, порядок изменения программного обеспечения и доведение этих изменений до пользователя;

ü разработать процедуру восстановления системы при отказах;

ü установить политику ограничений при разрешенных визитах в вычислительный центр и определить объем выдаваемой информации;

ü разработать систему протоколирования использования ЭВМ, ввода данных и вывода результатов;

ü обеспечить проведение периодической чистки архивов и хранилищ носителей информации для исключения и ликвидации неиспользуемых;

ü поддерживать документацию вычислительного центра в соответствии с установленными стандартами.

Дата добавления: 2014-12-24; Просмотров: 1196; Нарушение авторских прав?; Мы поможем в написании вашей работы!