Какова организационно-техническая структура автоматизированной системы обработки информации по нормативным документам ТЗИ
Информационно-телекоммуникационной системы (ИТС) называют организационно-техническую систему, которая выполняет функции информационной системы, т.е. такой организационно-техническую систему, которая реализует определенную технологию обработки информации, и (или) телекоммуникационной системы технической системы, реализующей определенную технологию (или совокупность технологий) передачи данных путем их кодирования в форме физических сигналов.
Информационно-коммуникационная система (information and communication system; ICS) - совокупность вычислительных средств и коммуникационного оборудования, предназначенного для обработки, хранения и передачи информации.
Информационно-коммуникационная технология (information and communication technology, ICT) - информационные процессы и методы работы с информацией, осуществляемые с применением средств вычислительной техники и средств телекоммуникации
Согласно НД ТЗИ 1.1-003-99 автоматизированная система (АС) -это организационно-техническая система, реализующая информационную технологию и сочетает в себе:
-вычислительную систему;
-физическую среду;
-персонал;
-информацию, которая обрабатывается.
В соответствии с «Закон України від 5.07.1994 року № 80/94-ВР. Про захист інформацм в інформащйно-телекомунікацшних системах» информация, которая является собственностью государства или информация с ограниченным доступом должна обрабатываться в ведомственных информационно-коммуникационных системах (ИКС) с использованием комплексной системы защиты информации (КСЗИ). имеющей подтвержденный сертификат соответствия. Это показывает, что решение задачи защиты информации в ИКС напрямую связано с проектированием и внедрением КСЗИ «Порядок проведения po6iт iз створення комплексної системи захисту "нформації в іформацшно-телекомунікаційній системі // НД T3I 3.7 - 003 - 05. -ДСТСЗІ СБ України. - Київ, 2005. - 35 с.»На практике создание КСЗИ ведется совместно с разработкой самой ИКС. что позволяет при определении направлений защиты информации учесть особенности построения ИКС. условия ее эксплуатации и требования к защите информации.
Так как система защиты информации является одной из подсистем ИКС, то важные параметры, являющиеся входными данными при проектировании комплекса средств защиты информации (КСЗИ) можно получить при анализе структуры самой ИКС, которая защищается, и потоков информации, передаваемых между различными элементами системы.
Внутренние условия взаимодействия средств КСЗИ и ИКС в основном определяется архитектурой ИКС, а внешние -взаимодействием с окружающей средой.
40 Общая методика создания комплексных средств защиты информации для информационно-коммуникационных систем обработки информации.
При анализе вида информации определяется важность и уровень конфиденциальности информации, которая должна обрабатываться, храниться и передаваться в ИКС. На основе такого анализа делается вывод о целесообразности создания КСЗИ. При этом также определяются потоки конфиденциальной информации, а также элементы ИКС. в которых она хранится и обрабатывается.
На этом же этапе рассматриваются вопросы разграничения доступа к информации для отдельных пользователей и для целых сегментов ИКС. На основе анализа информации, нормативных документов по ТЗИ. ведомственных стандартов ТЗИ определяются требования к защите информации и определение правил разграничения доступа к информации
Общая схема методики проектирования КСЗИ для ИКС отражающая основные этапы оценки защищенности ИКС
Обязательным условием построения КСЗИ является анализ угроз, по результатам которого строится модель безопасности информации с ИКС.
Каналы угроз делятся на каналы НСД и угрозы по техническим каналам утечки информации. В свою очередь по цели использования весь массив угроз можно разделить на три основных класса:
-угрозы для самой информационно-коммуникационной системы;
-угрозы для КСЗИ;
-угрозы для информации.
Угрозы для ИКС можно разделить на общие и специфические. Под общими угрозами подразумеваются угрозы в основном для физических элементов ИКС (уничтожение, повреждение носителей информации, внедрение средств перехвата информации, кража аппаратных или программных ключей и т.п.) и программно-математические угрозы (ошибки проектирования ИКС, КСЗИ, внедрение закладных программ и т.п.).
Угрозы для КСЗИ можно разделить на несколько классов: атаки (нападения), отказы оборудования, программ и аварии элементов КСЗИ. При этом обычно рассматривается три фазы воздействия угроз нарушителем: проникновение, исследование и эксплуатация. Эти три фазы создают спираль действий нарушителя. Например, при проникновении в систему на уровне пользователя нарушитель использует обычные средства для определения уязвимых мест в ИКС, а в конце, используя полученную информацию, может проникнуть в защищенные подсистемы.
Угрозы информации по каналам МСД и разделяются на угрозы конфиденциальности, целостности, доступности, наблюдаемости и гарантии безопасности. Для противодействия этим угрозам при проектировании, как ИКС, так и КСЗИ, должны учитываться критерии безопасности информации.
Конфиденциальность (confidentiality) - это свойство информации, благодаря которому только уполномоченные пользователи ИКС могут ее получать (знакомится с информацией).
Целостность (integrity) - это свойство информации, благодаря которому только уполномоченные пользователи ИКС могут ее изменять (модифицировать информацию).
Доступность (availability) - это свойство информации, благодаря которому только уполномоченные пользователи ИКС могут использовать ее в соответствии с правилами установленными политикой безопасности и в определенное время т.е. необходимый информационный ресурс должен находится для пользователя в нужном месте и тогда, когда ему это нужно.
Уровни возможностей нарушителя:
- первый уровень определяет самый низкий уровень возможностей нарушителя - возможность запуска фиксированного набора заданий (программ), которые реализуют предусмотренные в ИКС функции обработки информации:
- второй уровень определяется возможностью создания и запуска нарушителем собственных программ с новыми функциями обработки информации:
-третий уровень определяется возможностью управления функционированием ИКС. то есть влиянием на базовое программное обеспечение системы, на состав и конфигурацию ее оборудования:
- четвертый уровень определяется всем объемом возможностей лиц. осуществляющих проектирование, реализацию и ремонт аппаратных компонентов ИКС и КСЗИ. вплоть до включения в состав ИКС собственных средств с новыми функциями обработки и передачи информации.