В данном разделе Концепции приведены следующие сведения:
• интересы затрагиваемых при эксплуатации АС организации субъектов информационных отношений;
• цели защиты;
• основные задачи системы обеспечения безопасности информации АС;
• основные пути достижения целей защиты (решения задач системы защиты).
Выделяются следующие субъекты-правоотношений при использовании АС организации и обеспечении безопасности информации:
• организация как собственник информационных ресурсов;
• подразделения управлений и отделений организации, обеспечивающие эксплуатацию/системы автоматизированной обработки информации;
• должностные лица и сотрудники структурных подразделений организации как пользователи и поставщики информации в АС организации в соответствии с возложенными на них функциями;
• юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в АС организации;
• другие юридические и физические лица, задействованные в процессе создания и функционирования АС организации (разработчики компонент АС, обслуживающий персонал, организации, привлекаемые для оказания услуг в области безопасности информационных технологий и др.).
Интересы данных субъектов состоят в обеспечении конфиденциальности, достоверности информации, защиты от навязывания ложной информации, своевременного ее предоставления, разграничения ответственности за нарушения, возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации, защиты части информации от незаконного ее тиражирования.
После того как определены субъекты информационных отношений и их интересы, формулируется цель защиты информации. Она состоит в защите этих субъектов от возможного нанесения им ощутимого материального, физического, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АС либо НСД к циркулирующей в ней информации в целях ее незаконного использования.
Из данной цели органично вытекают задачи КСЗИ [50]:
• защита от вмешательства посторонних лиц в процесс функционирования АС организации;
• разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС:
— к информации, циркулирующей в АС,
— средствам вычислительной техники АС,
— аппаратным, программным и криптографическим средствам защиты, используемым в АС;
• регистрация действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности;
• ко нтроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;
• защита от несанкционированной модификации и контроль целостности используемых в АС программных средств, а также защита системы от внедрения несанкционированных программ, включая компьютерные вирусы;
• защита информации ограниченного распространения от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
• защита информации ограниченного распространения, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;
• обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
• обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;
• своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
• создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.
Далее в этом разделе Концепции определяются пути решения указанных задач.