Требования к защите информации от несанкционированного доступа — пункт ТЗ на АС, разрабатываемого согласно ГОСТ 34.602. Как элемент иерархической структуры техзадания может быть представлен так: Требования к системе (разд. 4) ⇨ ...в целом (подр. 4.1) ⇨ ...к защите информации от несанкционированного доступа (п. 4.1.9). Чем же заполнять данный пункт? Редакция от 14.12.2024.
Создан 08.04.2018 7:58:00
Из толкового словаря
НЕСАНКЦИОНИРОВАННЫЙ –ая, –ое. Осуществляемый без санкции... Несанкционированная забастовка. Несанкционированный митинг. Несанкционированное использование радиоактивных материалов.
ЗАЩИТА, защиты, мн. нет, жен. 1. Действие по гл. защитить — защищать. Защита крепости. Защита на суде. Для защиты от солнца.
Требования стандартов
2.6.1.9 В требования к защите информации от несанкционированного доступа включают требования, установленные в НТД, действующей в отрасли (ведомстве) заказчика [из 2.6.1.9 ГОСТ 34.602–89].
1.1.11 В АСУ должны быть предусмотрены меры защиты от неправильных действий персонала, приводящих к аварийному состоянию объекта или системы управления, от случайных изменений и разрушения информации и программ, а также от несанкционированного вмешательства [из 1.1.11 ГОСТ 24.104–85].
И ни слова больше, а фраза «требования, установленные в НТД, действующей в отрасли (ведомстве) заказчика» звучит как отмазка. Так оно и есть, поскольку сама тема широка и многогранна. Обратимся к терминологии.
Комментарии
Несанкционированный доступ к информации известен в нескольких «вариантах исполнения». Приведем три из них.
Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Примечание — Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем.
[из 4 РД ГТК РФ. Защита от НСД. Термины и определения].
Доступ субъектов или объектов, не имеющих права доступа [из 3.19 ГОСТ Р 51241–2008].
Доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.
- Несанкционированный доступ может быть осуществлен преднамеренно или непреднамеренно.
- Права и правила доступа к информации и ресурсам информационной системы устанавливаются для процессов обработки информации, обслуживания автоматизированной информационной системы, изменения программных, технических и информационных ресурсов, а также получения информации о них.
[из 3.3.6 ГОСТ Р 53114–2008].
Выводы следующие: налицо нарушение прав (разграничения) доступа, т.е. произошло событие, — Возникновение или наличие определенной совокупности обстоятельств.
- Характер, вероятность и последствия события могут быть не полностью известны.
- Событие может возникать один или несколько раз.
- Вероятность, связанная с событием, может быть оценена.
- Событие может состоять из невозникновения одного или нескольких обстоятельств.
- Непредсказуемое событие иногда называют «инцидентом».
- Событие, при котором не происходит никаких потерь, иногда называют предпосылкой к происшествию (инциденту), опасным состоянием, опасным стечением обстоятельств и т.д.
[из 3.2.8 ГОСТ Р 53114–2008].
Определенная совокупность обстоятельств, в свою очередь, вызывает последствие как Результат события.
- Результатом события может быть одно или более последствий.
- Последствия могут быть ранжированы от позитивных до негативных. Однако применительно к аспектам безопасности последствия всегда негативные.
- Последствия могут быть выражены качественно или количественно.
[из 3.1.2 ГОСТ Р 51897–2002].
О негативных и позитивных последствиях. Все в мире относительно: когда Клинтонша допустила утечку информации путем использования личного почтового сервера (по техническому каналу) для служебной переписки в бытность госсекретарем США, событие это вызвало скандал, т.е. ряд негативных последствий для североамериканских соединенных штатов. А для ИТР (иностранных технических разведок, не путать с инженерно–техническими работниками), перехвативших эту информацию, последствия весьма и весьма позитивные. Так что применительно к аспектам безопасности последствия далеко не всегда могут стать негативными 😆
Смех смехом, но на использовании гугл–почты для служебной переписки попались и отдельные «альтернативно одаренные» члены российского правительства. Очень хочется надеяться, что в новом составе правительства этих «суперэффективных менеджеров» мы больше никогда не увидим. И не только в правительстве, но и в органах власти вообще.
Негативные последствия наносят определенный ущерб, поэтому сама цель защиты информации есть Заранее намеченный результат защиты информации.
Примечание — Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.
[из 2.4.2 ГОСТ Р 50922–2006].
А коль скоро есть цель, то всегда можно сформулировать требования к задачам и средствам защиты от НСД, для этого придется поискать «требования, установленные в НТД, действующей в отрасли (ведомстве) заказчика». В том числе национальные, межгосударственные и международные стандарты, а также нормативные документы ФСТЭК.
Вот и все.