О практике проектирования защиты автоматизированных систем

Н.С. Жуков, ВНИИ ПВТИ

1. Исходные положения

В нормативных правовых актах Российской Федерации введено ряд правовых норм по проектированию и эксплуатации автоматизированных систем в современных условиях. Постановка проблем, связанных с защитой автоматизированных систем сама по себе не нова, но вся суть в том, что согласно "Общероссийскому классификатору продукции" (ОК 005-93) такого вида продукции, как "автоматизированная система" не имеется. В ОК 005-93 предусмотрены вычислительные сети, системы, комплексы, а также программно-технические комплексы различного назначения (в здравоохранении, нефтедобыче и т.д.).

В этой связи встает вопрос о правомочности предъявления требований к "объекту информатизации", "компьютерной системе", "автоматизированной информационной системе", "автоматизированной системе" и многим другим наименованиям сетей и систем, применяемых на практике. Отсутствие обобщенного (единого) наименования систем и сетей, созданных и создающихся на базе ЭВМ и ПС, средств связи и средств защиты, приводит к путанице и свободному принятию решений в части их защиты. Тем более, что в системе стандартизации в классе 34 предъявлены требования к созданию "автоматизированных систем", а не каких-либо других названий. Все это оказывает определенное влияние и на так называемую "область защиты информации", которую описать как изделие нельзя. Это скорее всего функциональная подсистема объекта защиты (вычислительной сети, системы, комплекса). Ведь сочетание "область защиты информации" не несет в себе ни одного реального объекта, тем более, что "информация" не вещественна. Введенные в последнее время стандарты в части защиты информации, как правило, в стандарты класса 34 "информационные технологии" не ключаются, что затрудняет работу по разработке документации, предусмотренной ГОСТ 2.601-95 "ЕСКД. Эксплуатационные документы". Например, в части разработки Руководства по эксплуатации (п. 5.1 ГОСТ 2.601-95).

Целесообразно, предъявляемые правовые нормы к созданию все же автоматизированных систем рассмотреть с позиции, указанной в Федеральном законе "О Государственной автоматизированной системе "Выборы" (ГАС "Выборы"). В этом законе изложены многие правовые нормы, которые касаются распределенной системы ГАС "Выборы" только в части обеспечения "безопасности информации", а не требуемого уровня защиты комплексов средств автоматизации (КСА) и фрагментов ГАС "Выборы", предназначенных для передачи данных (сообщений). Общеизвестно, что защищая только "информацию" (а она является всего лишь ресурсом, а не объектом защиты), конечной положительной цели достичь невозможно.

2. О развитии подходов к проектированию защиты ГАС "Выборы"

1) Ресурсы и процессы ГАС "Выборы", а также конфиденциальность, целостность и доступность данных являются и будут в дальнейшем являться постоянными объектами внешних и внутренних правонарушений, реализуемых с различными негативными целями.

2) Особенностями ГАС "Выборы" являются:

• разнообразие функциональных и структурных подсистем, разнообразие условий их эксплуатации и требуемых технико-экономических параметров;
• распределенность системы;
• требования к режиму эксплуатации;
• требования к порядку внесения изменений на этапах эксплуатации.

3) Для того, чтобы принять решение о развитии ГАС "Выборы" необходимо в стране изменить ряд принципиальных решений в секторе ИТ Российской Федерации. Среди которых:

• создать единую систему сертификации ТС, ПС и оборудования ГАС "Выборы";
• унифицировать виды защиты, структуру системы защиты всех КСА, фрагментов и среды передачи данных (среды ПД);
• обеспечить государственный заказ на разработку, изготовление и поставку техники защиты для ГАС "Выборы";
• ввести единые требования к комплектности и содержанию конструкторской, эксплуатационной и проектной документации на КСА, фрагменты, среду ПД и в целом на ГАС "Выборы";
• ввести обязательные требования к используемой сети связи общего пользования (ССОП) и другим используемым сетям связи для передачи данных (сообщений) Без реализации таких требований вряд ли правомочны правовые нормы ст. 22 ФЗ "О ГАС "Выборы";
• вполне естественно, что на всех КСА и фрагментах ГАС "Выборы" не одинаковые условиям и среды их эксплуатации. Как их свести к единым (общим)?;
• очевидно, что имеются различия и в техническом обслуживании, ремонте КСА и фрагментов ГАС "Выборы", которые должны быть едиными;
• предположительно, что требования к периодичности и объему подтверждения уровня защиты на этапах эксплуатации КСА и фрагментов ГАС "Выборы" должны быть едиными;
• введенная терминология не совпадает с терминологией, введенной в ФЗ "О связи", ФЗ "О техническом регулировании".

Эти и некоторые другие положения о "ГАС "Выборы", по нашему мнению, должны быть обобщены и систематизированы в свете положений Федерального закона "О техническом регулировании", введенного в Российской Федерации. Но это уже тема для другого сообщения.

Отмеченные в сообщении неувязки могут быть дополнены требованиями стандартов ЕСКД, ЕСПД, СРПП, класса 34 системы стандартизации "информационная технология" и др., что осложняет проектирование системы защиты объектов.

Литература

1. В.А. Гадасин, В.А. Конявский От документа - к электронному документу. Системные основы -Москва: "РФК-Имидж Лаб", 2001 -190 с.
2. В.А. Конявский. Управление защитой информации на базе СЗИ НСД "Аккорд", М., "Радио и связь", 1999, с 323.
3. Исследование безопасности (концептуальный анализ и проектирование), Москва, "Концент", 1998.
4. В.Д. Могилевский. Методология систем: вербальный подход (Системные проблемы России)/Отделение экон. РАН; науч.-ред. Совет изд-ва "Экономика". -М.:. ОАО "Издательство "Экономика", 1999. - 251 с.
5. В. Столлингс Основы защиты сетей. Приложения и стандарты. : Пер. с англ. - М. : Издательский дом "Вильямс", 2002. - 432 с.

Автор: Жуков Н. С.

Дата публикации: 01.01.2005

Библиографическая ссылка: Жуков Н. С. О практике проектирования защиты автоматизированных систем // Комплексная защита информации. Сборник материалов IX Международной конференции 1–3 марта 2005 года, Раубичи. Минск, 2005 С. 69–70.

---