3.2  Классификационная  схема  требований  к  системе обеспечения
сохранности  информации.  При  проектировании СОД устанавливается
определенный  порядок  проведеня  работ.  Вопросы конструирования
системы  обеспечения  сохранности  информации  должны решаться на
предпроектной   стадии.   Совокупность   требований   к   системе
обеспечения  сохранности  информации  представлена  на  рис. 3.2.
зддддддддддддддддддддддддддддддддддддддддддддддддддд           Ё
Совокупность      требований      к      системе     защиты     Ё
юдддбддддбдддддддддддбддддддддддддддбддддддбдддддддды  Ё  Ё Ё Ё Ё
здддддддддддддадддЁ          здддддддддадддддддддддд          Ё
здддадддддддддддддддддд    ЁОбщие    требования   ЁЁ   ЁТребов.к
техн.обеспеч.Ё  Ё  ЁТребов.к  документир-ю Ё юддбддддддддддддддыЁ
юдддддддддддбдддддддддды  Ё  юддддддддддддддддбддддды Ё Ё Ё Ё Ё Ё
зддддддддддддаддддддддд     Ё     зддддддаддддддддддддддд     Ё
ЁздОрг-ционные  требованияЁ  Ё  здТребов.к  прогр.беспеч.Ё Ё ЁЁ
юдддддддддддддддддддддды   Ё   Ё  юдддддддддддддддддддддды  Ё  ЁЁ
здддддддддддддддддддддд  Ё  Ё  здддддддддддддддддддддд  Ё  Ёцд
Организационные    Ё    Ё   цд   Контроль   доступа   Ё   Ё   ЁЁ
юдддддддддддддддддддддды   Ё   Ё  юдддддддддддддддддддддды  Ё  ЁЁ
здддддддддддддддддддддд  Ё  Ё  здддддддддддддддддддддд  Ё  Ёюд
Административные   Ё   Ё   юд   Безопасность   данных   Ё   Ё  Ё
юдддддддддддддддддддддды    Ё    юдддддддддддддддддддддды   Ё   Ё
здддддддддддддддддддддд   Ё   здддддддддддддддддддддд   Ё  цдд
Процедурные    Ё    цдддддЗащита    системы   защиты   Ё   Ё   Ё
юдддддддддддддддддддддды    Ё    юдддддддддддддддддддддды   Ё   Ё
здддддддддддддддддддддд  Ё здддддддддддддддддддддд Ё цддАнализ
и  проектирова- Ё цддддд Физические Ё Ё Ё Ёние метода защиты Ё Ё
юдддддддддддддддддддддды    Ё    Ё   юдддддддддддддддддддддды   Ё
здддддддддддддддддддддд  Ё  Ё  здддддддддддддддддддддд  юддддд
Аппаратурные       Ё      Ё      цддРаздельная      идентифика-Ё
юдддддддддддддддддддддды      Ё     Ё     Ёция     объектов     Ё
здддддддддддддддддддддд Ё Ё юдддддддддддддддддддддды Ё Связь Ё Ё
Ё     здддддддддддддддддддддд     юдддддддддддддддддддддды     Ё
цддОграничение    доступа   Ё   здддддддддддддддддддддд   Ё   Ё
юдддддддддддддддддддддды     Ё     Протоколирование    цддд    Ё
здддддддддддддддддддддд        юдддддддддддддддддддддды        Ё
юддПривилегии     пользов-лейЁ     здддддддддддддддддддддд    Ё
юдддддддддддддддддддддды        Ё        Тестирование       цддд
юдддддддддддддддддддддды Ё здддддддддддддддддддддд Ё Ё Обработка
угроз   цдды   юдддддддддддддддддддддды  Рис.  3.2  Классификация
требований  к  системе  защиты.  Рассмотрим  содержание следующих
групп   требований.  Общие  требования.  ----------------Одно  из
существенных   требований   к   системе  обеспечения  сохранности
информации     -     отдельная    идентификация    индивидуальных
пользователей,  терминалов,  индивидуальных  программ(заданий) по
имени  и  функции,  а  также  данных  при необходимости до уровня
записи  или  элемента.  Ограничить  доступ к информации позволяет
совокупность  следующих  способов:  - иерархическая классификация
доступа;  -  классификация  информации  по  важности  и  месту ее
возникновения;  - указание специфических ограничений и приложение
их   к   специфическим   объектам,  например  пользователь  может
осуществлять  только  чтение  файла  без  права  записи в него; -
содержание  данных  или  отдельных  групп  данных  (нельзя читать
информацию  по  отдельным  объектам); - процедуры, представленные
только  конкретным  пользователям.  Пользователи  программ должны
ограничиваться  только  одной  или  всеми  привилегиями: чтением,
записью,    удалением    информации.    При   реализации   записи
предусматривается   ее   модификация   (увеличение,   уменьшение,
изменение),  наращивание  (  элемента,  записи, файла) и введение
(элемента,   записи,   файла).  Система  обеспечения  сохранности
информации   должна  гарантировать,  что  любое  движение  данных
идентифицируется, авторизуется, обнаруживается и документируется.
Организационные  требования.  -------------------------к  системе
защиты  реализуются  совокупностью административных и процедурных
мероприятий.   Требования   по   обеспечению  сохранности  должны
выполняться  прежде  всего  на  административном  уровне.  С этой
целью:  - ограничивается несопровождаемый доступ к вычислительной
системе    (регистрация    и    сопровождение   посетителей);   -
осуществляется  контроль  за  изменением  в  системе программного
обеспечения; - выполняется тестирование и верификация изменения в
системе   программного   обеспечения   и   программах  защиты;  -
организуется  и  поддерживается  взаимный контроль за выполнением
правил   обеспечения   сохранности   данных;   -   ограничиваются
привилегии персонала, обслуживающего СОД; - осуществляется запись
протокола  о  доступе  к  системе; - гарантируется компетентность
обслуживающего персонала. Организационные мероприятия, проводимые
с   целью   повышения   эффективности   обеспечения   сохранности
информации,  могут  включать  следующие  процедуры:  - разработку
последовательного  подхода  к  обеспечению сохранности информации
для   всей   организации;  -  организацию  четкой  работы  службы
ленточной   и  дисковой  библиотек;  -  комплектование  основного
персонала  на  базе  интегральных  оценок  и  твердых  знаний;  -
организацию    системы    обучения   и   повышения   квалификации
обслуживающего  персонала.  С  точки зрения обеспечения доступа к
СОД  необходимо  выполнять  следующие  процедурные мероприятия: -
разработать и утвердить письменные инструкции на запуск и останов
системы;  -  контролировать использование магнитных лент, дисков,
карт,  листингов,  порядок  изменения  программного обеспечения и
доведение этих изменений до пользователя. - разработать процедуру
восстановления   системы  при  сбойных  ситуациях;  -  установить
политику  ограничений  при  разрешенных  визитах в вычислительный
центр  и  определить  объем  выдаваемой информации; - разработать
систему протоколирования использования ЭВМ, ввода данных и вывода
результатов; - обеспечить проведение периодической чистки архивов
и   хранилищ   лент,  дисков,карт  для  исключения  и  ликвидации
неиспользуемых;   -   поддерживать  документацию  вычислительного
центра в соответствии с установленными стандартами.
 

Оставит комментарий