logo search
Inf_Ps_#1_3

Требования к проектированию системы защиты информации

При разработке автоматизированных информационных систем возникает проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих компьютерных информационных систем.

Современные автоматизированные информационные системы обладают следующими основными признаками:

• наличием в них информации различной степени конфиденциальности;

• необходимостью криптографической защиты информации различной степени конфиденциальности при передаче данных,

• иерархичностью полномочий субъектов доступа и программ к автоматизированным рабочим местам, файл-серверам, каналам связи и информации системы, необходимостью оперативного изменения этих полномочий;

• организацией обработки информации в диалоговом режиме, в режиме разделения времени между пользователями и в режиме реального времени;

• обязательным управлением потоками информации, как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;

• необходимостью регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;

• обязательным обеспечением целостности программного обеспечения и информации в автоматизированных информационных системах;

• наличием в их составе средств восстановления системы защиты информации;

• обязательным учетом магнитных носителей;

• наличием физической охраны средств вычислительной техники и магнитных носителей.

Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации автоматизированных информационных систем.

Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии:

• устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой автоматизированной информационной системы, оценивается уровень конфиденциальности и объемы;

• определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.;

• анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

• определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;

• определяются мероприятия по обеспечению режима секретности на стадии разработки.

Среди организационных мероприятий по обеспечению безопасности информации важное место занимает охрана объекта, на котором расположена защищаемая автоматизированная информационная система (территория здания, помещения, хранилища информационных носителей). При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к автоматизированной информационной системе и линиям связи.