2. Особливості формування вимог захисту інформації
Нормативний документ системи технічного захисту інформації НД ТЗІ 2.5-004-99 “Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу” надає формалізовані вимоги до специфікацій функціональних послуг безпеки комп'ютерної системи, певний шаблон, що дозволяє власникам і розробникам комп'ютерної системи сформулювати вимоги до розмежування доступу та інші, по можливості абстрагувавшись від особливостей програмно-апаратної реалізації. Також дає можливість зіставити механізми захисту, реалізовані в різних автоматизованих системах.
Проте специфікації послуг безпеки, наведені в НД ТЗІ 2.5-004-99, є максимально узагальненими, рівною мірою застосовними до будь-якої автоматизованої системи. При розробці технічного завдання (ТЗ) на створення КСЗІ ці специфікації необхідно “наповнити” відомостями про вимоги до конкретної АС, однак, досвід розгляду ТЗ свідчить про те, що розробники ТЗ на створення КСЗІ не завжди забезпечують необхідне викладення специфікацій з урахуванням особливостей АС. В основному, все зводиться до цитування положень НД ТЗІ 2.5-004-99.
Недоліки такого “підходу” очевидні:
- відсутні чіткі вимоги до розроблювачів системи, які необхідно реалізувати на етапі технічного проектування;
- відсутні критерії експертизи;
- власник АС не може визначити, чи реалізований в АС захист від наявних загроз несанкціонованого доступу, доступності та спостережності.
Можна припустити, що це є наслідком недостатньо якісного обстеження об'єкта інформаційної діяльності й розуміння функціональності АС.
Далі на прикладі послуги ЦА-2 розглядаються питання, на які необхідно звернути увагу при описі вимог до функціональних послуг безпеки комп’ютерної системи:
1. Перелік об'єктів, на які поширюється послуга. Як правило, у ТЗ на створення КСЗІ приводиться повний перелік об'єктів, що підлягають захисту. Тоді природно, що послуга поширюється на деяку підмножину повного переліку об'єктів АС. Якщо в АС реалізовано кілька механізмів розмежування доступу, то необхідно чітко вказати, як вони доповнюють один одного.
2. Атрибути інформаційних об'єктів і процесів, на підставі яких буде здійснюватися розмежування доступу.
3. Для кожного об'єкта (категорії об’єктів), на який поширюється послуга, необхідно привести перелік процесів, що мають право модифікувати об'єкт, а для кожного процесу - перелік користувачів (категорій користувачів), що мають право, ініціалізації (запуску) даного процесу.
4. Категорії користувачів, які мають право змінювати ПРД у процесі експлуатації АС. Як правило, це адміністратор безпеки й адміністратори АС й її підсистеми, при наявності таких ролей в АС. Попередній пункт може доповнюватися більш детальним описом можливостей адміністратора надати ті чи інші права користувачам та процесам при формуванні конкретних облікових записів в АС.
5. Проблема експорту-імпорту об'єктів з АС. У разі взаємодії АС із іншими, ця взаємодія повинна реалізовуватися з урахуванням необхідності дотримання ПРД.
Якщо таке «буквальне» слідування специфікаціям НД ТЗІ виявляється громіздким, то існує альтернативний підхід – матриця (таблиця) розмежування доступу, (повноважень), в якій наочно викладаються правила взаємодії інформаційних об’єктів, користувачів та процесів обробки інформації. У цьому випадку при описі послуг безпеки, пов'язаних з розмежуванням доступу, доцільно посилатися на таблицю такого типу. Додатково необхідно вказати хто встановлює ПРД та наявні можливості з уточнення ПРД у порівнянні з “матрицею доступу”, яка в такому випадку може ілюструвати більш загальні аспекти розмежування доступу..
Чітко виконувати вимоги НД ТЗІ необхідно й при описі вимог до інших функціональних послуг безпеки. Якщо, наприклад, специфікація НД ТЗІ послуги “цілісність комплексу засобів захисту” вимагає, зокрема, визначення механізму контролю цілісності, то цей механізм повинен бути наведений у ТЗ на створення КСЗІ.
- Система технічного захисту інформації в україні: стан та напрямки розвитку
- Порядок створення комплексів технічного захисту інформації на об'єктах інформаційної діяльності
- 1. Підготовчі роботи
- 2. Основні положення
- 3. Етапи створення комплексу тзі на оід
- Порядок проведення передпроектних досліджень на об’єкті інформаційної діяльності
- 1. Нормативно-методичне забезпечення проведення обстеження на об’єкті інформаційної діяльності
- 2. Зміст та порядок обстеження на об’єкті інформаційної діяльності
- 3. Напрямки оптимізації робіт з обстеження на об’єкті інформаційної діяльності
- 4. Орієнтовний зміст акта обстеження
- Рекомендації щодо розроблення технічного завдання на виконання робіт із створення комплексу захисту на об’єкті інформаційної діяльності
- 1. Зміст технічного завдання
- 2. Пропозиції щодо формування змісту розділів і підрозділів тз
- 2.2. Вихідні дані для виконання робіт
- 2.3. Технічні вимоги до комплексу захисту
- 2.4. Вимоги до документації
- 2.5. Етапи виконання робіт та порядок їх приймання.
- Щодо закону україни “про внесення змін до закону україни "про захист інформації в автоматизованих системах"
- Порядок створення комплексних систем захисту інформації в інформаційно-телекомунікаційних системах, особливості формування вимог захисту інформації
- 1. Основні етапи створення комплексних систем захисту інформації (ксзі) в інформаційно-телекомунікаційних системах (ітс)*:
- 2. Особливості формування вимог захисту інформації
- Проблемы технической защиты информации в корпоративных сетях
- Порядок формування вимог щодо захисту інформації в тендерній документації у разі здійснення закупівель засобів еот, програмних продуктів та послуг з технічного захисту інформації
- Государственная экспертиза комплексных систем защиты информации в информационно- телекоммуникационных системах
- 1. Общий порядок проведения государственной экспертизы комплексных систем защиты информации в ас
- 2. Ведомственный порядок создания ксзи в ас класса 1 и проведения государственной экспертизы
- 3. Упрощенный порядок проведения государственной экспертизы ксзи ас класса 1