|
|
№ 1 январь-февраль 2007 г.
Тема номера:
РАЗВИТИЕ СТАНДАРТА ISO 17799 В РОССИИ
|
МЕТОДОЛОГИЯ СОЗДАНИЯ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
РАЗЛИЧНОГО НАЗНАЧЕНИЯ В ЗАЩИЩЕННОМ ИСПОЛНЕНИИ
А. П. Кондратюк, к. т. н., доцент |
|
|
Существование множества руководящих и нормативно-методических документов различных ведомств, регламентирующих вопросы защиты информации в технических средствах хранения, обработки и передачи информации, требует выработки единого понимания и трактовки организации, применяемых методов защиты информации в рамках единой методологии.
В настоящем обзоре сделана такая попытка на основе реальной практики организации защиты информации на объектах информатизации.
Введение
Вопросы защиты информации в информационных системах различного назначения в настоящее время приобретают насущный характер. Это связано с увеличением количества и сложности технических средств хранения, обработки и передачи информации (ТСПИ), обеспечивающих процесс подготовки и доведения управляющих решений до подчиненных подразделений.
Современные ТСПИ характеризуются следующими основными особенностями:
- наличием импортных радиокомпонентов в своем составе;
- объединением отдельных ТСПИ в сети и комплексы, предназначенные для подготовки, обсуждения и демонстрации управленческих и справочных материалов, реа-лизующих заданную информационную технологию;
- наличием совместного пробега линий связи и электропитания ТСПИ с другими линиями вспомогательных технических средств;
- появлением новых видов ТСПИ, таких как экраны коллективного пользования, видеопроекторы, системы двухмониторного отображения информации, объединенных функционально и электрически в тренажерные комплексы;
- сложностью совместного использования ТСПИ пользователями, имеющими различные формы допуска к информации, составляющей государственную тайну.
Эти особенности требуют четкого методологического подхода к организации и проведению мероприятий по защите информации. В настоящее время существуют руководящие и нормативно-методические документы ФСТЭК России, а также ведомственные документы других ведомств и министерств, регламентирующие вопросы защиты информации в ТСПИ. Вместе с тем, все эти документы введены в действие в различное время, несут в себе ряд новых положений и требований, поэтому существует необходимость выработки единого понимания и трактовки организации, применяемых методов защиты информации в рамках единого методологического подхода.
Без ссылок на закрытые руководящие и нормативно-методические документы в настоящем обзоре сделана попытка выработки единого методологического подхода в данной области на основе реальной практики организации защиты информации на объектах информатизации.
Этапы создания объектов информатизации в защищенном исполнении
Общеизвестно, что ТСПИ могут функционировать на различных объектах информатизации. К объектам информатизации относятся:
- объекты вычислительной техники, предназначенные для хранения, обработки, передачи информации в электронном виде, а также для вывода ее на твердую копию;
- копировальные аппараты, принтеры, ризографы, электронные и электромеханические пишущие машинки и другие средства изготовления и размножения документов (СИРД);
- выделенные помещения, предназначенные для обсуждения речевой закрытой информации;
- технические средства аудиоконференций и видеоконференций совместно с выделенными помещениями;
- комбинированные объекты информатизации, где обрабатывается информация в электронном виде, обсуждается речевая закрытая информация и может озвучиваться неречевая закрытая акустическая информация.
Технические средства, в которых непосредственно циркулирует закрытая информация, называются основными техническими средствами и системами (ОТСС). Технические средства, в которых отсутствует закрытая информация, размещенные в пределах одного объекта (помещения) совместно с ОТСС, называются вспомогательными техническими средствами и системами (ВТСС). Защита информации организуется в отношении ОТСС, но с учетом совместного размещения и использования с ВТСС.
Для выделенных помещений, СИРД и объектов вычислительной техники различной конфигурации и сложности количество и содержание этапов внедрения систем защиты могут варьироваться. Так, на простых объектах устанавливают системы защиты и проводят аттестационные испытания без проектно-сметной документации. На некоторых объектах разрабатывают только комплект рабочей документации на систему защиты информации, как часть более крупной технической системы. Сложные автоматизированные системы требуют разработки аналитического обоснования необходимости создания системы защиты закрытой информации, технического задания на разработку АС в целом и технорабочего проекта АС в защищенном исполнении.
Разработка автоматизированных систем в защищенном исполнении предусматривает ряд этапов, называемых стадиями создания. ГОСТ 34.601-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы, стадии создания» устанавливает последовательность и содержание этапов создания АС в защищенном исполнении, а также виды документов, разрабатываемых на каждой стадии.
Выделенные помещения и средства изготовления и размножения документов могут содержать все этапы внедрения систем защиты информации, за исключением этапа внедрения средств защиты от несанкционированного доступа. Кроме того, СИРД, размножение документов в которых основано на оптических принципах (светокопировальные аппараты), не создают каналов ПЭМИН, поэтому этапы защиты таких объектов от утечки по техническим каналам не проводятся.
Интегрированные системы предполагают разработку проектной документации на части систем защиты в соответствии с числом объединенных в единую техническую систему компонентов.
Общим для всех этих объектов является этап проведения аттестационных испытаний, который осуществляется по единой методологии.
< ... >
|
|
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|