КРИТЕРИИ КЛАССИФИКАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ

КРИТЕРИИ КЛАССИФИКАЦИИ ОБЪЕКТОВ ИНФОРМАТИЗАЦИИ
ПО ТРЕБОВАНИЯМ ЗАЩИТЫ ИНФОРМАЦИИ
Н.А. Деев, Т.С. Мартинович
Минск, ОИПИ НАН Беларуси
Для обоснованного представления перечня типовых объектов информатизации
(ОИ), для которых целесообразно разрабатывать профили защиты (ПЗ), необходимо определить критерии классификации ОИ и провести их классификацию.
Общие критерии не оперируют понятиями объектов информатизации, хотя они реально существуют.
Объект информатизации – совокупность информационных ресурсов, средств и систем информатизации, используемых в соответствии с заданной информационной технологией, и систем связи вместе с помещениями (транспортными средствами), в которых они
установлены.
Типовой объект информатизации – ОИ, обрабатывающий информацию определённой категории и важности в пределах области действия комплекса средств безопасности
объекта (КСБО), находящийся в контролируемой зоне или вне ее.
ОИ объединяет совокупность продуктов и систем информационных технологий, а
также включает:
- персонал;
- помещения (сооружения, объекты), в которых обрабатывается информация;
- неосновные технические средства.
Схематично объекты информатизации представлены на рис. 1.
ОИ
ОИТ
Продукт ИТ
Персонал
Помещения
НОТС
Система ИТ
Рис. 1. Схема объекта информатизации,
где ОИТ - объект информационных технологий; НОТС - неосновные технические средства
Критерии классификации объектов, продуктов и систем информационных технологий изложены в докладе В.К. Фисенко, Е.П. Максимович "Критерии классификации объектов информационных технологий по требованиям информационной безопасности" в
настоящем сборнике. Подробнее остановимся на общих показателях, по которым множество ОИ можно классифицировать по определённым классам и рассматривать как типовые
ОИ.
К общим показателям относятся:
– важность информации;
– категория обрабатываемой информации;
– уровень защиты;
– контролируемая зона (КЗ);
– комплекс средств безопасности объекта (КСБО);
– условия функционирования при обработке информации (автономно или неавтономно).
Определяющим свойством каждого класса ОИ является важность. Важность - свойство, характеризующее конфиденциальность, целостность и доступность. Конфиденциальность определяется категорией обрабатываемой информации. Устанавливаются следующие уровни составляющих важности информации:
– конфиденциальность: особой важности, совершенно секретно, секретно, для
служебного пользования, открытая информация;
– целостность: высокая, базовая;
– доступность: высокая, базовая.
Для каждого класса предъявляются требования по обеспечению трех уровней защиты ОИ:
– базовая защита;
– расширенная защита;
– повышенная защита;
Требования по обеспечению базовой защиты предъявляются в том случае, если на
ОИ обрабатывается открытая информация и требуется обеспечить высокую целостность
и базовую доступность (или базовую целостность и высокую доступность).
Требования по обеспечению расширенной защиты представляются в том случае,
если на ОИ обрабатывается информация:
– с грифом секретно и требуется обеспечить базовую целостность и базовую доступность;
– с грифом для служебного пользования и открытая информация и требуется обеспечить высокую целостность и базовую доступность или базовую целостность и высокую
доступность.
Требования по обеспечению повышенной защиты предъявляются в том случае, если на ОИ обрабатывается информация:
– с грифом особой важности, совершенно секретно, секретно, для служебного
пользования, открытая информация и требуется обеспечить высокую целостность и высокую доступность;
– с грифом особой важности, совершенно секретно, секретно, для служебного
пользования, открытая информация и требуется обеспечить высокую или базовую целостность, а также высокую или базовую доступность.
Классификация ОИ проводится в целях обоснованного формирования и реализации
функциональных и гарантийных требований безопасности и поддержки требуемого уровня
гарантии безопасности в ходе эксплуатации.
В основу классификации положены принципы:
– эквивалентности по степени важности обрабатываемой информации, по требуемому уровню защиты, по взаимодействию с внешними сетями;
– идентичности контролируемых зон и используемых КСБО.
Классификация ОИ, аттестуемых по требованиям информационной безопасности,
основана на иерархическом методе с использованием понятий "класс" и "подкласс".
В зависимости от важности обрабатываемой информации на ОИ устанавливаются:
подкласс 1 – сведения, отнесённые к государственным секретам (государственной
тайне);
подкласс 2 – сведения ограниченного распространения;
подкласс 3 – открытая информация.
В зависимости от организации на ОИ вычислительного процесса устанавливаются:
подкласс А – технические средства (ТС) размещены в пределах одной контролируемой зоны (КЗ) и обработка защищаемой информации осуществляется в пределах области
действия одного КСБО;
подкласс В – ТС размещены в нескольких КЗ и обработка защищаемой информации
осуществляется в пределах области действия одного КСБО;
подкласс С – ТС размещены в пределах одной КЗ, обработка защищаемой информации осуществляется в пределах области действия одного КСБО, но ОИ имеет каналы
обмена открытой информацией, выходящие за пределы КЗ.
При объединении подклассов ОИ образуется девять классов типовых объектов А1,
А2, А3, В1, В2, В3, С1, С2, С3. Таким образом, по совокупности характеристик типового
ОИ (идентичности объектов по назначению и условиям функционирования, подобия организации вычислительного процесса и области действий КСБО, идентичности по степени
важности обрабатываемой на ОИ информации, видов угроз и задач безопасности) выделено девять иерархических классов по каждому из уровней защиты. Учитывая, что для каждого класса предъявляются требования по обеспечению трех уровней защиты ОИ, мы получаем двадцать семь типовых ОИ, для которых необходимо разработать профили защиты.
Предложенные методы и принципы классификации объектов информатизации могут быть использованы в качестве инструмента при разработке типовых профилей защиты.
При классификации различных групп объектов информатизации необходимо руководствоваться приоритетами в обеспечении безопасности. Следовательно, при этом должны использоваться только им присущие показатели.