kiev-security.org.ua-Защита информационных систем.Классификация требований к системе защиты информации

3.2 Классификационная схема требований к системе обеспечения сохранности информации. При проектировании СОД устанавливается определенный порядок проведеня работ. Вопросы конструирования системы обеспечения сохранности информации должны решаться на предпроектной стадии. Совокупность требований к системе обеспечения сохранности информации представлена на рис. 3.2. зддддддддддддддддддддддддддддддддддддддддддддддддддд© Ё Совокупность требований к системе защиты Ё юдддбддддбдддддддддддбддддддддддддддбддддддбдддддддды Ё Ё Ё Ё Ё здддддддддддддаддд©Ё здддддддддадддддддддддд© Ё здддадддддддддддддддддд© ЁОбщие требования ЁЁ ЁТребов.к техн.обеспеч.Ё Ё ЁТребов.к документир-ю Ё юддбддддддддддддддыЁ юдддддддддддбдддддддддды Ё юддддддддддддддддбддддды Ё Ё Ё Ё Ё Ё зддддддддддддаддддддддд© Ё зддддддаддддддддддддддд© Ё Ёзд¦Орг-ционные требованияЁ Ё зд¦Требов.к прогр.беспеч.Ё Ё ЁЁ юдддддддддддддддддддддды Ё Ё юдддддддддддддддддддддды Ё ЁЁ здддддддддддддддддддддд© Ё Ё здддддддддддддддддддддд© Ё Ёцд¦ Организационные Ё Ё цд¦ Контроль доступа Ё Ё ЁЁ юдддддддддддддддддддддды Ё Ё юдддддддддддддддддддддды Ё ЁЁ здддддддддддддддддддддд© Ё Ё здддддддддддддддддддддд© Ё Ёюд¦ Административные Ё Ё юд¦ Безопасность данных Ё Ё Ё юдддддддддддддддддддддды Ё юдддддддддддддддддддддды Ё Ё здддддддддддддддддддддд© Ё здддддддддддддддддддддд© Ё цдд¦ Процедурные Ё цддддд¦Защита системы защиты Ё Ё Ё юдддддддддддддддддддддды Ё юдддддддддддддддддддддды Ё Ё здддддддддддддддддддддд© Ё здддддддддддддддддддддд© Ё цдд¦Анализ и проектирова- Ё цддддд¦ Физические Ё Ё Ё Ёние метода защиты Ё Ё юдддддддддддддддддддддды Ё Ё юдддддддддддддддддддддды Ё здддддддддддддддддддддд© Ё Ё здддддддддддддддддддддд© юддддд¦ Аппаратурные Ё Ё цдд¦Раздельная идентифика-Ё юдддддддддддддддддддддды Ё Ё Ёция объектов Ё здддддддддддддддддддддд© Ё Ё юдддддддддддддддддддддды Ё Связь Ё Ё Ё здддддддддддддддддддддд© юдддддддддддддддддддддды Ё цдд¦Ограничение доступа Ё здддддддддддддддддддддд© Ё Ё юдддддддддддддддддддддды Ё Протоколирование цддд¦ Ё здддддддддддддддддддддд© юдддддддддддддддддддддды Ё юдд¦Привилегии пользов-лейЁ здддддддддддддддддддддд© Ё юдддддддддддддддддддддды Ё Тестирование цддд¦ юдддддддддддддддддддддды Ё здддддддддддддддддддддд© Ё Ё Обработка угроз цдды юдддддддддддддддддддддды Рис. 3.2 Классификация требований к системе защиты. Рассмотрим содержание следующих групп требований. Общие требования. ----------------Одно из существенных требований к системе обеспечения сохранности информации - отдельная идентификация индивидуальных пользователей, терминалов, индивидуальных программ(заданий) по имени и функции, а также данных при необходимости до уровня записи или элемента. Ограничить доступ к информации позволяет совокупность следующих способов: - иерархическая классификация доступа; - классификация информации по важности и месту ее возникновения; - указание специфических ограничений и приложение их к специфическим объектам, например пользователь может осуществлять только чтение файла без права записи в него; - содержание данных или отдельных групп данных (нельзя читать информацию по отдельным объектам); - процедуры, представленные только конкретным пользователям. Пользователи программ должны ограничиваться только одной или всеми привилегиями: чтением, записью, удалением информации. При реализации записи предусматривается ее модификация (увеличение, уменьшение, изменение), наращивание ( элемента, записи, файла) и введение (элемента, записи, файла). Система обеспечения сохранности информации должна гарантировать, что любое движение данных идентифицируется, авторизуется, обнаруживается и документируется. Организационные требования. -------------------------к системе защиты реализуются совокупностью административных и процедурных мероприятий. Требования по обеспечению сохранности должны выполняться прежде всего на административном уровне. С этой целью: - ограничивается несопровождаемый доступ к вычислительной системе (регистрация и сопровождение посетителей); - осуществляется контроль за изменением в системе программного обеспечения; - выполняется тестирование и верификация изменения в системе программного обеспечения и программах защиты; - организуется и поддерживается взаимный контроль за выполнением правил обеспечения сохранности данных; - ограничиваются привилегии персонала, обслуживающего СОД; - осуществляется запись протокола о доступе к системе; - гарантируется компетентность обслуживающего персонала. Организационные мероприятия, проводимые с целью повышения эффективности обеспечения сохранности информации, могут включать следующие процедуры: - разработку последовательного подхода к обеспечению сохранности информации для всей организации; - организацию четкой работы службы ленточной и дисковой библиотек; - комплектование основного персонала на базе интегральных оценок и твердых знаний; - организацию системы обучения и повышения квалификации обслуживающего персонала. С точки зрения обеспечения доступа к СОД необходимо выполнять следующие процедурные мероприятия: - разработать и утвердить письменные инструкции на запуск и останов системы; - контролировать использование магнитных лент, дисков, карт, листингов, порядок изменения программного обеспечения и доведение этих изменений до пользователя. - разработать процедуру восстановления системы при сбойных ситуациях; - установить политику ограничений при разрешенных визитах в вычислительный центр и определить объем выдаваемой информации; - разработать систему протоколирования использования ЭВМ, ввода данных и вывода результатов; - обеспечить проведение периодической чистки архивов и хранилищ лент, дисков,карт для исключения и ликвидации неиспользуемых; - поддерживать документацию вычислительного центра в соответствии с установленными стандартами.

12. Классификация требований к системе защиты информации