Основой для нормативно-правовой поддержки функционирования КСЗИ является законодательная и регламентирующая база России.

 

Нормативно-правовая поддержка функционирования КСЗИ – общесистемная обеспечивающая составляющая информационной сферы ОИ. Предназначается для формирования нормативно-правовой документированной базы информационных отношений в части накопления, хранения, обработки, передачи и использования защищаемой информации на объекте и при внешнем информационном обмене. Реализуется комплексной подсистемой нормативно-правового обеспечения КСЗИ.

 

 

Ø Подсистема нормативно-правового обеспечения КСЗИ – совокупность норм, правил, регламентов и требований, устанавливающих на ОИ, в АС и в процессах внешнего информационного обмена обязательный порядок реализации информационных отношений между субъектами, отношений доступа субъектов к информационным объектам и к техническим ресурсам АС при их работе с защищаемой информацией.

 

 

Информационные отношения и отношения доступа рассматриваются при реализации всех технологических процессов обработки и передачи защищаемой информации. Должны учитываться особенности компьютерной и телекоммуникационной среды, в которой они выстраиваются. Порядок реализации отношений материализуется в виде необходимого и достаточного набора официальных документов – стандартов, руководящих документов, приказов, положений, инструкций, протоколов и других видов документов. На основании этих документов осуществляется проектирование и эксплуатация КСЗИ, выполнение информационных работ, настройка средств защиты информации на установленный штатный режим функционирования.

 

Все документы не должны противоречить законодательным актам в области информационных технологий.

 

К документам нормативно-правового обеспечения, прежде всего, относятся международные и государственные стандарты, ведомственные требования, официальные руководящие документы по разработке и применению средств защиты информации, созданию систем защиты информации.

 

Разрабатываемые в ходе создания КСЗИ документы целесообразно выделить в следующие отдельные группы документов нормативно-правового обеспечения:

· общесистемные нормативные документы;

· регламентирующие и инструктивные документы;

· организационно-распорядительные документы.

Общесистемные нормативные документы определяют концептуальные подходы к созданию КСЗИ и требования к мерам и средствам защиты информации, устанавливают отношения доступа субъектов, взаимодействующих с АС, к информационным и техническим ресурсам.

Основными документами данного вида являются:

· модель нарушителя;

· политика информационной безопасности ОИ;

· модель (порядок) разграничения доступа субъектов к информационным и техническим ресурсам в АС.

Модель нарушителя ОИ предполагает: определение угроз информации; уязвимостей информационной среды и технологий, способствующих реализации этих угроз; выделение из них существенных угроз по соотношению «ущерб – затраты на нейтрализацию», то есть актуальных угроз; определение источников актуальных угроз информации – субъекты (группы субъектов), имеющие потенциальную возможность реализации угроз; анализ и фиксирование этих возможностей в виде оценочных характеристик, связанных с родом служебной деятельности, соответствующим ей санкционированным доступом к ресурсам АС и следуемым из этого каналам реализации угроз; анализ и фиксирование квалификации субъектов (групп субъектов) и специфичных условий; представление всех этих сведений в формализованном или вербальном виде. Основным результатом модели нарушителя должен быть официально принятый категорированный перечень потенциальных нарушителей информационной безопасности с описанием их профессиональных, служебных, функциональных и технических возможностей по инициированию и реализации нарушений. Модель нарушителя должна дать однозначный ответ на вопрос, в отношении каких субъектов и явлений осуществляется защита информации.

 

На основании модели нарушителя ОИ могут разрабатываться частные модели нарушителя, ориентированные на их конкретное использование при проектировании функциональных подсистем КСЗИ, что означает, практически, решение сформулированных для модели вопросов в отношении информационных технологий определённого вида или критических информационных ситуаций.

 

Модель нарушителя ОИ и частные модели нарушителя, если такие разрабатываются, должны быть официально утверждены, как нормативные документы.

 

Политика информационной безопасности ОИ – это совокупность документированных управленческих, организационных, технических и технологических решений, направленных на защиту информации и ассоциированных с ней других ресурсов с учётом утверждённой модели нарушителя.

 

Политика информационной безопасности является исполнительным концептуальным документом, позволяющим целенаправленно осуществлять проектирование и эксплуатацию КСЗИ и АС, организовать защищённую информационную деятельность на ОИ в целом, оценивать и принимать выверенные в правовом отношении решения при возможных нарушениях информационной безопасности.

 

Политика информационной безопасности может быть многоаспектным документом и затрагивать сферу высших (руководство ОИ) административных решений, общесистемных для информационной деятельности ОИ положений и порядка, административных, организационно-технических и технологических требований уровня процессов и работ.

 

Как правило, политика информационной безопасности ОИ утверждается руководством объекта информатизации (организации) по согласованию и представлению её соответствующими уполномоченными структурами.

 

Модель (порядок) разграничения доступа в АС устанавливает конкретные документированные права и полномочия доступа пользователей и эксплуатационного персонала (администраторов, операторов, специалистов по эксплуатации компонентов АС) к информационным и техническим ресурсам объекта информатизации.

 

Утверждённый или введённый приказом по объекту порядок разграничения доступа является нормативной основой для выполнения информационной работы на ОИ и настройки средств защиты информации КСЗИ (формирования в машинном виде прав и полномочий доступа).

 

Регламентирующие и инструктивные документы определяют ответственность, регламент, требования и порядок выполнения условий обеспечения информационной безопасности конкретных информационных технологий, сервисов и связанных с их реализацией работ.

 

К ним, прежде всего, можно отнести такие критические с точки зрения информационной безопасности технологии как использование сети Интернет, выполнение антивирусных мероприятий, введение и исключение пользователей в действующем активе, порядок работы с парольными и ключевыми системами и другие.

 

Эти документы предназначены для руководителей ОИ, администраторов и пользователей АС, а также специалистов, обеспечивающих эксплуатацию средств защиты КСЗИ. Практически в рамках этих документов определяются организационные меры по защите информации и, наряду с эксплуатационной документацией, они позволяют осуществлять эксплуатацию и организационный порядок работы с техническими (программными, аппаратными) средствами защиты, их использование в установленном регламенте.

 

Организационно-распорядительные документы (приказы, распоряжения, заключения регулирующих органов и экспертных организаций) предназначены для придания правового статуса в организации принимаемых организационных и технических решений в части КСЗИ и её элементов, легитимного ввода в эксплуатацию КСЗИ, отдельных её средств, настроек, полномочного проведения расследований и принятия решений при нарушениях информационной безопасности.

 

Проблема защиты информации, состояния информационной безопасности в целом на объекте информатизации – это, прежде всего, правовая проблема построения информационных отношений. Поэтому подсистема нормативно-правового обеспечения КСЗИ является фундаментальной при проектировании КСЗИ.

 

 

Структурно-технологическая и организационно-техническая поддержка функционирования КСЗИ

 

Структурно-технологическая и организационно-техническая поддержка функционирования КСЗИ – это типовые комплексы работ по созданию условий безопасности работы с защищаемой информацией и функционирования средств защиты КСЗИ:

 

· организация режима конфиденциальности/секретности (решение организационно-структурных и штатных вопросов по обеспечению на объекте условий информационной безопасности, реализация организационных мер и мероприятий, контролирующих выполнение пользователями и обслуживающим персоналом нормативно-правовых и технологических требований по защите информации, распределение и контроль ответственности);

 

· создание с помощью инженерно-технической защиты доверенного пространства размещения оборудования АС, служебных и технологических помещений, обеспечение установленного регламента работы в этих помещениях (установка систем инженерно-технической защиты – охранной сигнализации, видеонаблюдения, автоматизированного контроля управления и допуска в территориальные зоны и помещения; внедрение дисциплины использования доверенного пространства при функционировании АС).

Для реализации данного комплексов работ могут быть выделены следующие основные обеспечивающие подсистемы:

 

Ø подсистема организации режима конфиденциальности/секретности;

Ø подсистема (система) охранной сигнализации —контроль с помощью технических средствтерритории, зон размещения АС, служебных и технологических помещений, основного и вспомогательного оборудования(для создания доверенной территории размещения оборудования АС в период отсутствия на них доверенного обслуживающего персонала);

 

Ø подсистема (система) контроля и управления допуском – СКУД(для гарантированного и подконтрольного допуска в служебные и технологические помещения только доверенного в части выполнения работ в этих помещениях персонала);

 

Ø подсистема (система) видеонаблюдения —за территорией, помещениями и выполнением работ пользователями и обслуживающим персоналом АС(для контроля действий доверенного персонала в рамках своих полномочий).