Часть I . Разработка проекта подсистемы защиты информации от несанкционированного доступа

 

На этапе разработки модели разграничения доступа к информации при создании СЗИ от НСД должна быть сформулирована политика информационной безопасности и разработан проект защищенной информационной архитектуры АС, которая должна поддерживать эту политику безопасности и быть согласованной с информационной архитектурой СУ по задачам обработки и защиты данных.

Под политикой информационной безопасности (далее политикой безопасности) автоматизированного участка СУ будем понимать совокупность принципов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение защищаемой информации в конкретной АС, зафиксированных документально.

Под автоматизированной системой (АС) будем понимать организационно-техническую структуру, представляющую собой совокупность взаимосвязанных компонентов: технических средств обработки и передачи данных (средств вычислительной техники и связи); методов и алгоритмов обработки данных в виде соответствующего программного обеспечения; информации (массивов, наборов, банков данных) на различных носителях; личного состава, в т.ч. должностных лиц - пользователей системы, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки информации (данных) с целью решения задач управления.

Под информационной архитектурой понимается организационно-техническая структура системы управления, которая отражает логику взаимодействия элементов информационной системы в ходе обработки данных при решении функциональных задач.

Информационная архитектура может быть представлена набором функциональных схем, таблиц и других документов, содержащих следующую информацию:

- состав подразделений и должностных лиц, в чьих интересах будет функционировать информационная система (отделов и служб), а также подразделений и должностных лиц информационных служб (секретных частей, канцелярий, шифрорганов, подразделений связи и автоматизации и т.п.), предназначенных для реализации функций обработки информации с указанием функциональных обязанностей, необходимости и порядка взаимодействия при решении задач управления;

- перечни функциональных задач и задач по обработке информации, которые предполагается решать в системе с указанием их характеристик;

- перечень информационных массивов, наборов и банков данных, которые необходимо формировать и поддерживать в ходе решения функциональных задач и задач по обработке информации, с указанием носителей информации, предназначенных для их хранения и ответственных за их актуализацию должностных лиц;

- структура физической и логической топологии информационной системы с указанием планируемых информационных потоков между элементами СУ и каналов связи между ними;

- организационно-техническая структура (архитектура) автоматизированных участков СУ с указанием технических средства обработки и передачи данных, методов и алгоритмов обработки данных в виде пакетов общего и специального программного обеспечения;

- другие характеристики системы и ее компонентов, способные оказать влияние на ход информационного процесса.

Порядок разработки модели разграничения доступа в АС зависит от стадии жизненного цикла, на которой находится АС, существующего уровня автоматизации и степени изученности. Объективно существует три ситуации, в которых может приниматься решение на создание СЗИ от НСД и разработку модели разграничения доступа к информации:

1. Создается новая АС. Планируется решение задач управления с обработкой информации ограниченного доступа. Предполагается комплексная автоматизация всей системы или автоматизация некоторых участков (сегментов) обработки данных. Необходимые исходные данные для создания СЗИ от НСД разрабатываются параллельно с проектированием АС.

2. АС уже существует. Имеются задачи управления, решение которых требует обработки информации ограниченного доступа. Предполагается комплексная автоматизация всей системы или автоматизация некоторых участков (сегментов) обработки данных. Часть необходимых исходных данных для создания СЗИ от НСД формируется в результате обследования организационно-штатной и информационной структуры АС. Другая часть формируется параллельно с разработкой проекта АС.

3. АС уже существует и в ее интересах функционирует ЛВС, которая автоматизирует обработку данных на некоторых участках (сегментах) или во всей системе. СУ планируется настроить на решение задач управления, обрабатывающих информацию ограниченного доступа. Необходимые исходные данные для создания СЗИ от НСД формируются в результате обследования организационно-штатной и информационной структуры АС, информационной и организационно-технической архитектуры существующей АС.

Если система только проектируется, то имеется возможность включить требования по безопасности информации в проект системы и учитывать их при разработке структуры и выборе компонентов информационной архитектуры создаваемой АС. Кроме того, существует возможность влиять на функциональные требования к информационной системе (в том числе на организационно-штатную структуру АС) для их коррекции с целью выполнения требований по безопасности. Например, можно решить вопрос с выделением штатных единиц для органов ОБИ, использовать СВТ с более высоким классом защиты, изменить предполагаемые маршруты прохождения потоков секретной информации и т.п.

Если АС уже существует и требуется автоматизация информационных процессов, то организационно-штатная структура уже сложилась, должностные лица и подразделения имеют функциональные задачи и, в целом, функциональные требования к АС уже слабо управляемы. Необходимо проводить тщательное обследование информационной архитектуры АС, выявить все функциональные задачи и информационные потоки между ними и разработать архитектуру АС в защищенном исполнении.

В случае создания СЗИ от НСД для уже функционирующей АС задачи по разработке модели разграничения доступа остаются те же, однако модификация архитектуры АС уже требует больших затрат. Поэтому создание СЗИ от НСД для существующей АС является сложной задачей из-за невозможности выполнить некоторые требования по безопасности и обеспечить требуемый класс защиты АС от НСД к информации.

В качестве задания на курсовое проектирование по дисциплине «Программно-аппаратная защита информации» предлагается разработать эскизный проект подсистемы программно-аппаратной защиты АС от НСД при наличии первой из рассмотренных ситуаций, когда необходимо автоматизацию и защиту информационных процессов в АС проводить одновременно. Следовательно, стоит задача по обследованию информационной архитектуры АС, выработке политики информационной безопасности и модели разграничения доступа, созданию проекта АС для решения задач управления в защищенном исполнении. Основные этапы этой задачи рассмотрены ниже.