Организационно правовое обеспечение
Организационно правовое обеспечение как компонент СЗИ, представляет собой организованные совокупности, организационно-технических мероприятий и организационно-правовых актов. Организационно-технические мероприятия, с одной стороны участвуют в непосредственном решении задач защиты, т.е. чисто организационными средствами или совместно с другими средствами защиты, а с другой стороны объединяет все средства в единые комплексы ЗИ. Организационно- правовые акты являются правовой основой, регламентирующей и регулирующей функционирование всех элементов СЗИ. В целом же организационно – правовое обеспечение служит для объединения всех компонентов в единую систему защиты.
Типизация и стандартизация систем защиты имеет важное значение, как с точки зрения надежности, так и с точки зрения экономичности защиты. Типизация – это разработка типовых конструкций или технологических процессов на основе общих для ряда изделий, технологических характеристик. Типизация рассматривается, как один из методов стандартизации. Стандартизация- это процесс установления и применения стандартов, которые в свою очередь определяются как образцы, эталоны, модели, принимаемые за исходные, для сопоставления с ними других объектов. Т.о. конечной целью типизации и стандартизации является разработка, утверждение и повсеместное применение стандартов. Первым шагом на пути к конечной цели должна быть максимальная типизация основных решений в соответствующей области. Анализ концепции ЗИ и анализ подходов к архитектурному построению СЗИ в частности показывает, что с целью создания наилучших предпосылок для оптимизации системы ЗИ целесообразно выделить 3 уровня типизации и стандартизации:
1.Высший уровень-это уровень системы ЗИ в целом.
2.Средний уровень- это уровень составных компонентов системы ЗИ.
3.Низший уровень- это уровень проектных решений по средствам и механизмам защиты.
С целью создания необходимых предпосылок для типизации и стандартизации (ТиС) прежде всего, необходимо осуществить системную классификацию СЗИ. При этом основными критерия классификации должны быть такие показатели, с помощью которых все необходимые системы ЗИ делились бы на такие элементы структуры, т.е. классы, группы, подклассы, каждый из которых был бы адекватен определенным потребностям по ЗИ, вся совокупность таких элементов охватывала бы все потенциальные возможные варианты, потребностей в защите. Изложим один из эмпирических подходов типизации СЗИ: В рамках данного подхода система защиты классифицируется по уровню защиты, который обеспечивает система и по активности реагирования СЗИ на несанкционированные действия (НСД).
Критерии:
1. По уровню обеспечиваемой защиты. Все СЗИ целесообразно разделить на следующие 4 категории. Во-первых, системы слабой защиты, они рассчитаны на такие АСОД, в которых обрабатывается информация, имеющая низкий уровень по конфиденциальности. Во-вторых, системы сильной защиты рассчитаны на АСОД, в которой обрабатывается информация, подлежащая защите от НСД, но объемы этой информации не очень велики, обрабатывается она эпизодически. В-третьих, системы очень сильной защиты рассчитаны на АСОД, в которых регулярно обрабатываются большие объемы конфиденциальной информации, которые подлежат защите. В-четвертых, системы особой защиты, они рассчитаны на АСОД, в которых регулярно обрабатывается информация повышенной секретности.
2. По активности реагирования на НСД. Пассивные, в них не предусматривается ни сигнализация о НЗД, ни воздействие системы на нарушителя. Полуактивные СЗИ, в них предусматривается сигнализация о НЗД, но не предусматривается воздействие системы на нарушителя. Активные СЗИ, в которых предусматривается, как сигнализация о НЗД, так и воздействие системы на нарушителя.
СЗИ каждой категории по уровню защиты могут относиться к разным типам активности реагирования, нецелесообразно строить активные СЗИ слабой защиты, но системы особой защиты обязательно должны быть активными. В классификационной структуре определяются следующие СЗИ.: НЦ- нецелесообразные, Д-Допустимые, НД-недопустимые Ц-Целесообразные.
Для формирования полного множества потенциально необходимых СЗИ, должен быть принят во внимание ещё один критерий, т.е. типа АСОД для которой предназначена СЗИ. В настоящее время выделяют следующие типы АСОД:
1.Персоональное ЭВМ, которое используется локально.
2.Группы ЭВМ, которые используются локально.
3.Вычислительная сеть предприятия, учреждения или организации.
4.Вычислительная сеть коллективного пользования.
5.Локальная, вычислительная сеть.
6.Слабо распределенные вычислительные сети (в пределах населенного пункта, не большой территории).
7.Сильно распределенные, региональные вычислительные сети.
8.Глобальные вычислительные сети.
Для каждого из перечисле6нных типов АСОД можно предусмотреть типовой проект СЗИ.