Требования к системам защиты информации

      Комментарии к записи Требования к системам защиты информации отключены

Группы требований. Общие и организационные требования

Требования по защите информации определяются владельцем ИС и согласовываются с исполнителем работ по созданию системы защиты информации (исполнитель должен иметь соответствующую лицензию на право проведения таких работ).

В процессе формирования требований к СЗИ целесообразно найти ответы на следующие вопросы:

1. Какие меры безопасности предполагается использовать?

2. Какова стоимость доступных программных и технических мер защиты?

3. Насколько эффективны доступные меры защиты?

4. Насколько уязвимы подсистемы СЗИ?

5. Имеется ли возможность провести анализ риска (прогнозирование возможных последствий, которые могут вызвать выявленные угрозы и каналы утечки информации)?

Совокупность требований к системам защиты информации представлена на рисунке 1.

В общем случае целесообразно выделить следующие группы требований к системам защиты информации:

 общие требования;

 организационные требования;

 конкретные требования к подсистемам защиты, техническому и программному обеспечению, документированию, способам, методам и средствам защиты.

Рассмотрим указанные группы требований более подробно.

Общие требования

Прежде всего необходима полная идентификация пользователей, терминалов, программ, а также основных процессов и процедур, желательно до уровня записи или элемента. Кроме того, следует ограничить доступ к информации, используя совокупность следующих способов:

 иерархическая классификация доступа;

 классификация информации по важности и месту ее возникновения;

 указание ограничений к информационным объектам, например пользователь может осуществлять только чтение файла без права записи в него;

 определение программ и процедур, предоставленных только конкретным пользователям.

Система защиты должна гарантировать, что любое движение данных идентифицируется, авторизуется, обнаруживается и документируется.

Обычно формулируются общие требования к следующим характеристикам:

 способам построения СЗИ либо ее отдельных компонент (к программному, программно-аппаратному, аппаратному);

 архитектуре вычислительных средств и ИС (к классу и минимальной конфигурации ЭВМ, операционной среде, ориентации на ту или иную программную и аппаратную платформы, архитектуре интерфейса);

 применению стратегии защиты;

 затратам ресурсов на обеспечение СЗИ (к объемам дисковой памяти для программной версии и оперативной памяти для ее резидентной части, затратам производительности вычислительной системы на решение задач защиты);

 надежности функционирования СЗИ (к количественным значениям показателей надежности во всех режимах функционирования ИС и при воздействии внешних разрушающих факторов, к критериям отказов);

 количеству степеней секретности информации, поддерживаемых СЗИ;

 обеспечению скорости обмена информацией в ИС, в том числе с учетом используемых криптографических преобразований;

 количеству поддерживаемых СЗИ уровней полномочий;

 возможности СЗИ обслуживать определенное количество пользователей;

 продолжительности процедуры генерации программной версии СЗИ;

 продолжительности процедуры подготовки СЗИ к работе после подачи питания на компоненты ИС;

 возможности СЗИ реагировать на попытки несанкционированного доступа либо на “опасные ситуации”;

 наличию и обеспечению автоматизированного рабочего места администратора защиты информации в ИС;

 составу используемого программного и лингвистического обеспечения, к его совместимости с другими программными платформами, к возможности модификации и т.п.;

 используемым закупаемым компонентам СЗИ (наличие лицензии, сертификата и т.п.).

Статьи к прочтению:

Требования по защите информации для организаторов торговли


Похожие статьи: