Требования к системам защиты информации

Группы требований. Общие и организационные требования

Требования по защите информации определяются владельцем ИС и согласовываются с исполнителем ра­бот по созданию системы защиты информации (испол­нитель должен иметь соответствующую лицензию на право проведения таких работ).

В процессе формирования требований к СЗИ целе­сообразно найти ответы на следующие вопросы:

1. Какие меры безопасности предполагается использо­вать?

2. Какова стоимость доступных программных и техни­ческих мер защиты?

3. Насколько эффективны доступные меры защиты?

4. Насколько уязвимы подсистемы СЗИ?

5. Имеется ли возможность провести анализ риска (про­гнозирование возможных последствий, которые могут вызвать выявленные угрозы и каналы утечки инфор­мации)?

Совокупность требований к системам защиты ин­формации представлена на рисунке 1.

В общем случае целесообразно выделить следующие группы требований к системам защиты информации:

 общие требования;

 организационные требования;

 конкретные требования к подсистемам защиты, тех­ническому и программному обеспечению, документи­рованию, способам, методам и средствам защиты.

Рассмотрим указанные группы требований более подробно.

Общие требования

Прежде всего необходима полная идентификация пользователей, терминалов, программ, а также основ­ных процессов и процедур, желательно до уровня за­писи или элемента. Кроме того, следует ограничить до­ступ к информации, используя совокупность следующих способов:

 иерархическая классификация доступа;

 классификация информации по важности и месту ее возникновения;

 указание ограничений к информационным объек­там, например пользователь может осуществлять толь­ко чтение файла без права записи в него;

 определение программ и процедур, предоставлен­ных только конкретным пользователям.

Система защиты должна гарантировать, что любое движение данных идентифицируется, авторизуется, обнаруживается и документируется.

Обычно формулируются общие требования к сле­дующим характеристикам:

 способам построения СЗИ либо ее отдельных ком­понент (к программному, программно-аппаратному, аппаратному);

 архитектуре вычислительных средств и ИС (к классу и минимальной конфигурации ЭВМ, операционной среде, ориентации на ту или иную программную и аппаратную платформы, архитектуре интерфейса);

 применению стратегии защиты;

 затратам ресурсов на обеспечение СЗИ (к объемам дисковой памяти для программной версии и оператив­ной памяти для ее резидентной части, затратам произ­водительности вычислительной системы на решение задач защиты);

 надежности функционирования СЗИ (к количествен­ным значениям показателей надежности во всех режимах функционирования ИС и при воздействии внешних разрушающих факторов, к критериям отказов);

 количеству степеней секретности информации, под­держиваемых СЗИ;

 обеспечению скорости обмена информацией в ИС, в том числе с учетом используемых криптографичес­ких преобразований;

 количеству поддерживаемых СЗИ уровней полно­мочий;

 возможности СЗИ обслуживать определенное ко­личество пользователей;

 продолжительности процедуры генерации про­граммной версии СЗИ;

 продолжительности процедуры подготовки СЗИ к работе после подачи питания на компоненты ИС;

 возможности СЗИ реагировать на попытки несанк­ционированного доступа либо на “опасные ситуации”;

 наличию и обеспечению автоматизированного рабо­чего места администратора защиты информации в ИС;

 составу используемого программного и лингвистического обеспечения, к его совместимости с другими программными платформами, к возможности модифи­кации и т.п.;

 используемым закупаемым компонентам СЗИ (на­личие лицензии, сертификата и т.п.).