ЦД-1 - мінімальна довірча цілісність;
ЦО-1 - обмежений відкат.
Загальні вимоги із захисту конфіденційної інформації:
1. Впровадження заходів із захисту інформації в конкретній АС не повинно суттєво погіршувати основних її характеристик стосовно продуктивності, надійності, сумісності, керованості, розширюваності, масштабованості тощо.
2. Обробка в автоматизованій системі конфіденційної інформації здійснюється з використанням захищеної технології.
Технологія обробки інформації є захищеною, якщо вона містить програмно-технічні засоби захисту та організаційні заходи, що забезпечують виконання загальних вимог із захисту інформації. Загальні вимоги передбачають:
- наявність переліку конфіденційної інформації, яка підлягає автоматизованій обробці; у разі необхідності можлива її класифікація в межах категорії за цільовим призначенням, ступенем обмеження доступу окремих категорій користувачів та іншими класифікаційними ознаками;
- наявність визначеного (створеного) відповідального підрозділу, якому надаються повноваження щодо організації і впровадження технології захисту інформації, контролю за станом захищеності інформації (далі - служба захисту в АС, СЗІ);
- створення комплексної системи захисту інформації (далі - КСЗІ), яка являє собою сукупність організаційних і інженерно-технічних заходів, програмно-апаратних засобів, спрямованих на забезпечення захисту інформації під час функціонування АС;
- розроблення плану захисту інформації в АС, зміст якого визначено в додатку до НД ТЗІ 1.4-001;
- наявність атестата відповідності КСЗІ в АС нормативним документам із захисту інформації;
- можливість визначення засобами КСЗІ декількох ієрархічних рівнів повноважень користувачів та декількох класифікаційних рівнів інформації;
- обов’язковість реєстрації в АС усіх користувачів та їхніх дій щодо конфіденційної інформації;
- можливість надання користувачам тільки за умови службової необхідності санкціонованого та контрольованого доступу до конфіденційної інформації, що обробляється в АС;
- заборону несанкціонованої та неконтрольованої модифікації конфіденційної інформації в АС;
- здійснення СЗІ обліку вихідних даних, отриманих під час вирішення функціональних задач у формі віддрукованих документів, що містять конфіденційну інформацію, у відповідності з “Інструкцією про порядок обліку, зберігання й використання документів, справ, видань та інших матеріальних носіїв інформації, які містять конфіденційну інформацію, що є власністю держави”;
- заборону несанкціонованого копіювання, розмноження, розповсюдження конфіденційної інформації в електронному вигляді;
- забезпечення СЗІ контролю за санкціонованим копіюванням, розмноженням, розповсюдженням конфіденційної інформації в електронному вигляді;
- можливість здійснення однозначної ідентифікації та автентифікації кожного зареєстрованого користувача;
- забезпечення КСЗІ можливості своєчасного доступу зареєстрованих користувачів АС до конфіденційної інформації.
3. Характеристика типових умов функціонування та вимог із захисту інформації в автоматизованій системі класу 2.
До АС класу 2, згідно з встановленою НД ТЗІ 2.5-005 [22] класифікацією, відносяться автоматизовані системи, створені на базі локалізованого багатомашинного багатокористувачевого комплексу.
До складу АС класу 2 входять обчислювальна система, фізичне середовище, в якому вона знаходиться і функціонує, користувачі АС та оброблювана інформація, у тому числі й технологія її оброблення. Під час забезпечення захисту інформації необхідно враховувати всі характеристики зазначених складових частин, які мають вплив на реалізацію політики безпеки.
4. Характеристика обчислювальної системи
4.1. Метою створення автоматизованих систем класу 2 є надання будь-якому користувачеві, у відповідності із захищеною технологією обробки інформації, потенційної можливості доступу до інформаційних ресурсів усіх комп’ютерів, що об’єднані в обчислювальну мережу.
Узагальнена функціонально-логічна структура обчислювальної системи АС класу 2 включає:
- підсистему обробки інформації;
- підсистему взаємодії користувачів з АС;
- підсистему обміну даними.
4.2. Підсистема обробки інформації реалізує головну цільову функцію АС і складається із засобів обробки інформації, які утворюють основу інформаційно-обчислювальних ресурсів АС, що надаються користувачам (обчислення, пошук, зберігання та оброблення інформації). Принциповими її особливостями є багатофункціональність і можливість доступу до неї для будь-яких робочих станцій АС. Можливі обмеження визначаються тільки специфікою технологій, технічними й організаційними особливостями функціонування АС.
Як компоненти підсистеми можуть використовуватися універсальні високопродуктивні ЕОМ (у тому числі й ПЕОМ), спеціалізовані сервери обробки даних або надання послуг (сервери баз даних, друку тощо).
4.3. Підсистема взаємодії користувачів з АС забезпечує користувачам доступ до засобів підсистеми обробки інформації і подання отриманого від них ресурсу у вигляді результату обчислення, інформаційного масиву або графічного зображення у зручній та зрозумілій для користувача формі.
Компоненти підсистеми у функціональному відношенні є автономно замкненими та, як правило, не передбачається доступ до їх внутрішніх обчислювальних ресурсів зі сторони інших компонентів АС.
Як компоненти підсистеми можуть використовуватися ПЕОМ, що укомплектовані засобами введення та відображення інформації (робочі станції), дисплейні станції.
4.4. Підсистема обміну даними забезпечує взаємодію робочих станцій із засобами підсистеми обробки інформації, а також робочих станцій між собою на основі визначених правил, процедур обміну даними з реалізацією фаз встановлення, підтримання та завершення з’єднання. Підсистема забезпечує інформаційну взаємодію різних компонентів АС і об’єднує їх в єдине ціле як у структурному, так і у функціональному відношенні.
Підсистема обміну даними складається з пасивної мережі для обміну даними (кабельна мережа), активного мережевого обладнання (комутаторів, концентраторів, маршрутизаторів, шлюзів тощо), що об’єднує в єдине ціле пасивну мережу з обладнанням інших підсистем для забезпечення інформаційної взаємодії.
Як різновид підсистеми обміну даними можна розглядати структуровану кабельну систему – набір стандартних комутаційних елементів (кабелів, з’єднувачів, коннекторів, кросових панелей і спеціальних шаф та ін.), які дозволяють створювати регулярні структури передачі даних, що відносно легко розширюються.
4.5. Обчислювальні системи, за допомогою яких реалізуються підсистема обробки інформації та підсистема взаємодії користувачів з АС, укомплектовані:
- засобами обчислювальної техніки;
- периферійним обладнанням - пристроями друку, зберігання інформації тощо;
- комплексом програмного забезпечення обчислювальної системи;
- комплексом програмно-апаратних засобів захисту інформації.
У разі необхідності засоби обчислювальної техніки додатково можуть комплектуватися сумісними периферійними пристроями і відповідними модулями системного програмного забезпечення.
4.6. Комплекс програмного забезпечення обчислювальної системи складають:
- операційні системи серверів;
- операційні системи універсальних високопродуктивних ЕОМ;
- операційні системи робочих станцій;
- операційні системи, що забезпечують виконання мережевих функцій;
- програмні засоби, що підтримують реалізацію протоколів передачі даних обчислювальної мережі;
- програмні засоби активних компонентів мережі, що реалізують спеціальні алгоритми управління мережею;
- системи керування базами даних серверів, високопродуктивних універсальних ЕОМ, робочих станцій;
- програмні засоби забезпечення КЗЗ;
- функціональне програмне забезпечення.
4.7. Наведена функціонально-логічна структура АС може розглядатися як універсальна, в той час як фізична структура автоматизованої системи може мати значно більшу кількість модифікацій в залежності від цілей та завдань, які вона повинна вирішувати, способу розподілу функцій між окремими технічними засобами, видів та можливостей технічних засобів, що застосовуються, інших специфічних особливостей, які враховуються під час проектування конкретної обчислювальної мережі.
5. Характеристика користувачів
5.1. За рівнем повноважень щодо доступу до інформації, характером та складом робіт, які виконуються в процесі функціонування автоматизованих систем, особи, що мають доступ до АС, поділяються на наступні категорії:
- користувачі, яким надано повноваження розробляти й супроводжувати КСЗІ (адміністратор безпеки, співробітники СЗІ);
- користувачі, яким надано повноваження забезпечувати управління АС (адміністратори операційних систем, СКБД, мережевого обладнання, сервісів та ін.);
- користувачі, яким надано право доступу до конфіденційної інформації одного або декількох класифікаційних рівнів;
- користувачі, яким надано право доступу тільки до відкритої інформації;
- технічний обслуговуючий персонал, що забезпечує належні умови функціонування АС;
- розробники та проектувальники апаратних засобів АС, що забезпечують її модернізацію та розвиток;
- розробники програмного забезпечення, які здійснюють розробку та впровадження нових функціональних процесів, а також супроводження вже діючих;
- постачальники обладнання і технічних засобів АС та фахівці, що здійснюють його монтаж, поточне гарантійне й післягарантійне обслуговування;
- технічний персонал, що здійснює повсякденне підтримання життєдіяльності фізичного середовища АС (електрики, технічний персонал з обслуговування будівель, ліній зв’язку тощо).
5.2. Усі користувачі та персонал АС повинні пройти підготовку щодо умов та правил використання технічних та програмних засобів, які застосовуються ними під час виконання своїх службових та функціональних обов’язків.