Комплексні системи захисту інформації. Проектування, впровадження, супровід. Вадим Гребенніков
Чтение книги онлайн.
Читать онлайн книгу Комплексні системи захисту інформації. Проектування, впровадження, супровід - Вадим Гребенніков страница 14
Для кожного структурного елемента схеми інформаційних потоків фіксуються склад інформаційних об’єктів, режим доступу до них, можливий вплив на нього (елементу) елементів середовища користувачів, фізичного середовища з точки зору збереження властивостей інформації.
За результатами обстеження інформаційного середовища складається «Перелік інформації, що підлягає автоматизованому обробленню в ІТС і потребує захисту», який оформлюється як окремий документ, затверджений керівником організації-власника (розпорядника) відповідної інформації, або як розділ у інших документах (Політика безпеки, План захисту, Технічне завдання на створення КСЗІ тощо).
У переліку має бути наведено перелік інформаційних ресурсів (видів інформації), що підлягають обробленню в ІТС, класифікований за такими ознаками:
– назва відповідного інформаційного ресурсу, який визначається цільовим призначенням відповідної інформації;
– характеристики інформації відповідно до встановленого законодавством правового режиму та режиму доступу (ІДТ, КІВД, КІ, ВІВД, ВІ);
– вищий ступінь обмеження доступу (для ІДТ) до інформації (ступінь секретності) відповідно до вимог Зводу відомостей, що становлять державну таємницю;
– критичні властивості інформації з погляду забезпечення її захищеності, визначені з урахуванням вимог Правил 373 і вимог власника (розпорядника) інформації;
– вимоги (за наявності) щодо обмеження доступу до інформації користувачів ІТС різних категорій, визначені з урахуванням, наприклад, вимог «Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в АС» або «Інструкції про порядок обліку, зберігання і використання документів, справ, видань та інших матеріальних носіїв інформації, які містять службову інформацію».
Окрім зазначених вище, можуть бути використані додаткові класифікаційні ознаки, корисні з погляду подальшого формулювання політики безпеки інформації, оброблюваної в ІТС, наприклад, вид подання відповідних інформаційних ресурсів тощо.
При обстеженні користувацького середовища здійснюється аналіз:
– функціонального та кількісного складу користувачів, їхніх функціональних обов’язків та рівня кваліфікації;
– повноважень користувачів щодо допуску до відомостей, які обробляються в ІТС, доступу до ІТС та її окремих компонентів;
– повноважень користувачів щодо управління КСЗІ;
– рівня можливостей різних категорій користувачів, що надаються (можуть бути доступними) їм засобами ІТС.
За результатами