Требования к защите информации от НСД в АС

Защиту информации от НСД в Украине на сегодняшний день регламентируют нормативные документы [2,3,8,12-14].

Учитывая данные нормативные документы, а также акцентируемые классы АС (класс 1 и 2), современный рынок средств защиты конфиденциальной информации можно условно разделить на две группы:

- средства защиты для госструктур, позволяющие выполнить требования нормативно-правовых документов, а также требования нормативно-технических документов (государственных стандартов, нормативных документов ГСССЗИ и т.д.);

- средства защиты для коммерческих компаний и структур, позволяющие выполнить рекомендации ISO/IEC 17799:2002 (BS 7799-1:2000) «Управление информационной безопасностью – Информационные технологии. – Information technology – Information security management».

Требования к защите информации от НСД могут накладываться различные.

Во-первых, на это влияет класс АС, который подразумевает обработку информации разных категорий. Рассмотренная ранее классификация АС, подробно описывает данную характеристику.

Во-вторых, важность объекта и стоимость (важность) информации. Если объект, является информационно важным (не говоря уже о государственном объекте, так как на этот случай необходимо руководствоваться исключительно нормативными документами), то в таком случае следует производить оценку информационных ресурсов, информационной системы в целом на определение ее важности (провести аудит информационной безопасности). После этого, как отдельным этапом, формируются требования к защите данного объекта.

Одним из требований обеспечения защиты информации в АС, согласно [14] является то, что обработка в АС конфиденциальной информации должна осуществляется с использованием защищенной технологии.

Технология обработки информации является защищенной, если она содержит программно-технические средства защиты и организационные мероприятия, которые обеспечивают выполнение общих требований по защите информации.

Общие требования предусматривают [14]:

- наличие перечня конфиденциальной информации, которая подлежит автоматизированной обработке; в случае необходимости возможна ее классификация в пределах категории по целевому назначению, степенью ограничения доступа отдельной категории пользователей и другими классификационными признаками;

- наличие определенного (созданного) ответственного подраздела, которому предоставляются полномочия относительно организации и внедрения технологии защиты информации, контроля за состоянием защищенности информации (дальше - служба защиты в АС, СЗИ);

- создание КСЗИ, которая являет собой совокупность организационных и инженерно-технических мероприятий, программно-аппаратных средств, направленных на обеспечение защиты информации во время функционирования АС;

- разработку плана защиты информации в АС, содержание которого определенно в приложении к НД ТЗИ 1.4-001;

- наличие аттестата соответствия КСЗИ в АС нормативным документам по защите информации;

- возможность определения средствами КСЗИ нескольких иерархических уровней полномочий пользователей и нескольких классификационных уровней информации;

- обязательность регистрации в АС всех пользователей и их действий относительно конфиденциальной информации;

- возможность предоставления пользователям только при условии служебной необходимости санкционированного и контролируемого доступа к конфиденциальной информации, которая обрабатывается в АС;

- запрет несанкционированной и неконтролируемой модификации конфиденциальной информации в АС;

- осуществление с помощью СЗИ учета выходных данных, полученных во время решения функциональной задачи, в форме отпечатанных документов, которые содержат конфиденциальную информацию, в соответствии с руководящими документами [14];

- запрет несанкционированного копирования, размножения, распространения конфиденциальной информации, в электронном виде;

- обеспечение с помощью СЗИ контроля за санкционированным копированием, размножением, распространением конфиденциальной информации, в электронном виде;

- возможность осуществления однозначной идентификации и аутентификации каждого зарегистрированного пользователя;

- обеспечение КСЗИ возможности своевременного доступа зарегистрированных пользователей АС к конфиденциальной информации.

Приведенные требования являются базовыми и применяются при защите информации от НСД во всех типах АС.

Условно разделив, АС на важнейшие подсистемы обеспечения защиты информации (рис 2.1), можно перечислить также требования, предъявляемые для защиты компьютерной информации от НСД в АС для каждой отдельной подсистемы.